| Home Themenübersicht / Sitemap Notizen Webmaster |
von Philipp Schaumann
|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Mark Russinovich ist in der IT-Szene bekannt für die IT-Forensic Werkzeuge Sysinterals, die 2006 von Microsoft gekauft wurden.
Er hat einen Action Thriller geschrieben, bei dem es (natürlich) um den Einsatz von Sysinternals geht um mit ihrer Hilfe die Welt zu retten. Das Buch ist recht amerikanisch, 9/11 spielt eine große Rolle, die Bürokratie rund um das Heimatschutzministerium kommt ziemlich schlecht werg und wer die Bösen sind will ich hier nicht verraten. Das ganze ist recht spannend und gut gemacht, auch wenn einige Kapitel am Anfang recht technisch klingen.
An einer Stelle hat er sich die Sache allerdings recht einfach gemacht indem alle Computersysteme in diesem Buch offensichtlich Windows Betriebssysteme nutzen, selbst die "embedded systems" der Flugzeuge und Schiffe und auch die Steuerungssysteme aller Kernkraftwerke. Mittels dieser Annahme funktionieren dann eine ganze Reihe der üblichen Recovery-Methoden nicht mehr und die Welt ist den Angreifern wirklich ausgeliefert. D.h. das Buch beschreibt also nicht wirklich akurat unsere derzeitigen Bedrohungen (die groß genug sind) sondern die noch größeren Bedrohungen die wir hätten, wenn alle Rechner das gleiche Betriebssystem nutzen würden.
Aber trotzdem wirft das Buch natürlich ein wichtiges Schlaglicht auf die Verwundbarkeit der modernen Welt, denn selbst wenn "nur" alle Windows-Rechner nicht mehr funktionieren würden wäre das Chaos und seine Auswirkungen auf die Wirtschaft und unser tägliches Leben erheblich. Denn Windows wird heute sehr wohl durchaus auch für kritische Server eingesetzt und natürlich hätten sich die Angreifer auch mehr Arbeit machen können und Viren und Schadsoftware auch für MacOS, iOS und Linux schreiben können.
Bruce Schneier berichtet in seinem Newsletter, dass er (und andere) bei einer Podiumsdiskussion nach den 3 größen kommenden Bedrohungen im Cyberspace gefragt wurde. Er kam als letztes dran und entschied sich, nicht-kriminelle Bedrohungen zu wählen.
* The Rise of Big Data. By this I mean industries that trade on our data. These include traditional credit bureaus and data brokers, but also data-collection companies like Facebook and Google. They're collecting more and more data about everyone, often without their knowledge and explicit consent, and selling it far and wide: to both other corporate users and to government. Big data is becoming a powerful industry, resisting any calls to regulate its behavior. - Bruce Schneier verlinkt auf Six Provocations for Big Data
* Ill-Conceived Regulations from Law Enforcement. We're seeing increasing calls to regulate cyberspace in the mistaken belief that this will fight crime. I'm thinking about data retention laws, Internet kill switches, and calls to eliminate anonymity. None of these will work, and they'll all make us less safe. - Ich habe einiges zur Anonymität geschrieben.
* The Cyberwar Arms Race. I'm not worried about cyberwar, but I am worried about the proliferation of cyber weapons. Arms races are fundamentally destabilizing, especially when their development can be so easily hidden. I worry about cyberweapons being triggered by accident, cyberweapons getting into the wrong hands and being triggered on purpose, and the inability to reliably trace a cyberweapon leading to increased distrust. Plus, arms races are expensive. - Bruce Schneier verlinkt auf seinen Beitrag Cyberwar and the Future of Cyber Conflict und hier mein Text zu Cyber Arms Race.
Mir gefällt diese sehr Liste gut. Sie bringt Bedrohungen, die auch ich langfristig für gefährlicher halte als die Cyberkriminalität.
In der ZEIT stand ein Artikel, in dem ein neues Internet gefordert wurde. Wenn ich den Artikel richtig verstanden habe, so werden als Argument die offenbar steigenden Angriffe auf Firmen und Privatpersonen angeführt (über die ich z.B. weiter unten berichte). Anlass für den Artikel ist ein Buch: "Zeitbombe Internet. Warum unsere vernetzte Welt immer störranfällliger und gefährlicher wird" von Thomas Fischermann und Götz Hamann.
Im Zeitartikel steht dann z.B.
Wie konnten diese Hacker überhaupt so erfolgreich sein? Die unbequeme Antwort lautet: Die wichtigste Infrastruktur unseres Planeten ist zu schwach für das, was sie leisten soll. Die Computer, das Netz, ja die ganze Informationstechnik versagt nun im großen Stil. Nie war das Internet dafür vorgesehen, solche Massen hochgradig privater, wirtschaftlich unentbehrlicher und überlebenswichtiger Daten zu befördern und zu verwalten. Seine Protokolle und Programme sind nicht dafür ausgelegt.
Diesem Fehlschluss liegt ein ganz grundlegender Denkfehler zu Grunde. Im Gegensatz zum früheren Telefonnetz ist das Internet ein reines Transportnetz, sehr schön dargestellt ind 2 älteren Artikeln The Rise of the Stupid Network und World of Ends. Die Hauptqualität des Internets darin liegt, dass alle Intelligenz in den Endpunkten liegt und nicht, wie im Telefonnetz, im Netz selbst. Dadurch erfüllt es seine wichtigste Funktion, nämlich Menschen miteinander kommunizieren zu lassen.
Die extreme "Dummheit" des Internets ist genau der Grund, warum es möglich ist, so viele innovative Dienste anzubieten. Das war im Telefonnetz nicht möglich, weil die Netzbetreiber sehr darauf geachtet haben, dass über diese Kabel nur ganz bestimmte Inhalte (nämlich 5 KHz breite Tonsignale) transportiert werden. Das Internet ist (noch) neutral und alle bits sind (noch) gleich. Innovationen hängen nicht mehr vom Netzbetreiber ab, wer eine Idee für einen Dienst hat, der kann sich einen (auch sehr billigen) Rechner aufstellen, ans Netz hängen und seinen Dienst anbieten, und das ohne eine vorherige Genehmigung. Dies hat viele Vorteile, aber natürlich auch Nachteile, denn die "böse Seite", die Kriminalität nutzt dies natürlich auch aus.
Der Artikel führt dann kurz aus, dass das Internet zusammenbrechen könnte und schwenkt dann auf Internetbanking, um dort auszuführen, dass das schrecklich unsicher sei. Als Beispiel wird berichtet, dass vom Online-Konto einer Frau 4375 Euro gestohlen wurden, obwohl sie ein Überweisungslimit von 1500 Euro hat. Erklärung dafür ist, dass der Rechner heftig infiziert war und dass der Trojaner auf ihrem Rechner ihre Transaktionen manipulieren konnte. (Hier erkläre ich, wie ein Man in the Browser oder Man in the Middle Angriff funktioniert). In diesem konkreten Fall hätte die Nutzung von mobilen TANs (und das Durchlesen der SMS und Erkennen, dass nicht die richtige Überweisung durchgeführt wurde) sehr wohl geschützt. Das Beispiel zeigt aber ganz klar, dass das Problem hier nicht das "kaputte" Internet ist, sondern die Sicherheit der Endpunkte der Kommunikation. Der Rechner war infiziert, so wie die Rechner, die Anonymous hackt (Sony, Sega, GIS, und viele andere) unsicher konfiguriert oder programmiert waren, sonst wären die Angreifer nicht hereingekommen. Und der Angriff gegen RSA ist gelungen, weil einer der Mitarbeiter ein Email aus dem Spam-Verzeichnis geholt hat und auf den verführerischen Anhang "2011 Recruitment plan.xls" geklickt hat.
Das sind keine Fehler des Internets, das sind Fehler in den technischen oder menschlichen Endpunkten des Internets und hätten auch durch ein anderes Netz, z.B. eines das ich nur nach strenger Identifizierung nutzen kann (z.B. über Bürgerkarte), nicht verhindert worden. Wenn das Internet nur noch mit Bürgerkarte oder ähnlichem genutzt werden kann, so ist das für die Angreifer nur eine sehr geringe Behinderung. Schon jetzt nutzen sie unsichere Privat- oder Firmen-Rechner als Sprungbrett und dann werden diese Sachen eben im Namen von irgendwelchen Unschuldigen begangen. Knackpunkt ist, dass die Endpunkte gesichert werden müssen und wir wissen heute, wie das gehen würde. Aber sichere Software würde etwas mehr Geld kosten (weil sie etwas mehr Mühe bereitet) und wir leben in Zeiten, wo dafür kein Geld vorhanden ist. (Das habe ich an anderer Stelle ausführlicher besprochen.) Welche Erfolge Firmen bei der Sicherheitsausbildung ihrer Techniker haben können zeigt die Erfolgsgeschichte von Microsoft von 2000 bis heute, Windows Vista und Windows 7 sind erheblich sicherer als die Vorgängersysteme und Adobe Produkte und die Java Umgebungen von Oracle führen jetzt die Verwundbarkeitsstatistiken an.
Diese sichere Software hilft natürlich nicht gegen Trickbetrug und Social Engineering, aber ein anderes Internet würde da auch nicht helfen. Auch mehr Kontrolle, noch mehr Überwachung des Datenverkehrs kann diese Angriffe nicht verhindern. Es würde jedoch die Möglichkeiten stark einschränken, auch kritische Meinungen zu äußern. Zur Bedeutung von Anonymität und Privatsphäre habe ich an anderer Stelle ausführlich geschrieben.
Zufällig gerade gelesen: Measuring Search-Redirection Attacks in the Illicit Online Prescription Drug Trade. Es passt zum Thema, denn auch hier geht es darum, dass die unsicheren Endpunkte, in diesem Fall legitime Webserver die nicht besonders gut betreut werden, z.B. von Universitäten, von Angreifern infiltriert und zum Teil bis zu einem halben Jahr ausgenutzt werden um Suchanfragen auf den Online Pharmahandel umzuleiten. Auch in diesem Fall gibt es nichts, wo irgendeine "Härtung" des Netzes helfen würde: Legitime Internet-Nutzer werden über die Suchmaschinen auf manipulierte, aber trotzdem legitime Websites geschickt, von wo sie dann auf die dubiosen Angebote weitergeleitet werden. Die Schwachstelle sind die schlecht betreuten Webserver, nicht das Internet.
Die Organisation "Friends of Nature" hat einen IT Industry Investigative Report zur Firma Apple herausgebracht, der sehr lesenswert ist: The Other Side of Apple (pdf) und einen 2. Band THE OTHER SIDE OF APPLE II (pdf).
 |
Klick auf Bild gibt große Version, volle Version mit allen Herstellern ist im Report Seite 28, Quelle: Friends of Nature |
Es geht in diesem Texten um das Verhalten der Lieferanten die die Geräte für Apple zusammenbauen. Die Vorwürfe sind extrem harte Arbeitsbedingungen (die bei Foxconn zu einer Serie von Selbstmordfällen geführt haben und jetzt u.a. durch Fangnetze vor den Gebäuden verhindert werden sollen) und Vergiftung der Arbeiter und Umwelt durch Dinge wie Lösungsmittel.
Diese Probleme sind nicht auf die Zulieferer von Apple beschränkt. Nach dem Report gibt es jedoch einen großen Unterschied: Andere Firmen sind bereit mit chinesischen Umweltschutzorganisationen zu reden, Apple wiederholt, wie die abgedruckten Antworten im Report zeigen, gebetsmühlenhaft die beiden Mantras:
"We do more than any other company on the planet"
Und wenn auf konkrete Vorwürfe bzgl. bestimmter Lieferanter geantwortet werden soll:
"Apple has a long standing policy of not disclosing supply base."
Die NYT berichtet über einen US-Künstler, der nach einem Trip nach China das Thema, wie wir mithelfen, mit unseren sauberen Handys die andere Seite des Globus zu vergiften zum Thema seiner Solo-Auftritte gemacht hat: A Trip to China Can Make a Guy Hate His iPhone.
Die Financial Times (eigentlich kein linkes Blatt) berichtet Apple attacked over pollution in China. Sie sagen, dass mehrere Umweltgruppen dem Konzern [Apple] im August vorgeworfen haben, in China "systematische Umweltverschmutzung" zu betreiben.
Aktualisierung Oktober 2011:
Ganz frische Meldung: Auslieferungs-Engpass bei MacBooks erwartet. Grund: Verschärfung der Umwelt-Vorschriften in China. Es wurde ein Werk geschlossen: "Anrainer hatten sich beschwert, dass die Fabrik des Zulieferers in der chinesischen Suzhou-Provinz einen unangenehmen Geruch verströme. Catcher muss nun Änderungen an seiner Produktionsstätte vornehmen. Im Oktober erwartet man einen Verkaufs-Rückgang um ein Fünftel. Neben Apple sind auch Dell, Lenovo und Sony Catcher-Kunden."
Aktualisierung Feb. 2012:
Futurezone berichtet über einen Artikel in der NYT: In China, Human Costs Are Built Into an iPad. Der Bericht ist sehr ausführlich und recht schockierend in dem er zeigt, wie sehr Produktqualität über dem Leben und der Gesundheit der Arbeiter in China steht. Es bleibt abzuwarten, ob die neue Führung bei Apple ebenso schlecht mit diesen Vorwürfen umgeht wie unter Steve Jobs. Vor dem Hamburger Apple Store gabe es Proteste und Aktivisten haben die Server von Foxconn angegriffen (auch in diesem Artikel: Im großen Apple Store Grand Central in New York wurden rund 250.000 Unterschriften überreicht).
Die NY Times nimmt sich weiterhin des Thema an: In einem Kommentar wirft der Columnist die Frage auf, ob wir als Konsumenten denn bereit wären, fast das Doppelte für unsere "Spielzeuge" zu zahlen. Schätzungen besagen, dass bei fairen Bedingungen, gleiches Lohnniveau wie im Westen, gleicher Sicherheitsstandard, ein 200$ iPhone ca. 380$ kosten würde. Seine Frage? Wenn Apple jetzt diesen Standard erzwingen würde und seine Preise entsprechend anheben, würden dann die iPhone Fans immer noch bei Apple kaufen, oder Android-Geräte, die unter den jetzigen Bedinungen (unter Ausbeutung der Gesundheit der chinesischen Arbeiter) hergestellt werden? Wenn die Konsumenten hier mit einem klaren JA antworten würden, so würde sich das ja nicht nur auf die Smartphones, sondern auch die Fernseher, DVD-Spieler, Kameras, Telefone, MP3-Spieler und so weiter auswirken.
Das heißt, wir haben hier ein Henne und Ei Problem: jeder Hersteller solcher Geräte fürchtet, dass falls er erzwingt, dass seine Produkte fair hergestellt werden, die Konkurrenz nicht mitzieht und er damit Marktanteile verliert. Die Frage an jeden von uns: Wenn es Fair-Trade Elektronic gäbe, würden wir wirklich das erhöhten Preise dafür zahlen oder zur Konkurrenz gehen, die schmutziger (d.h. billiger produziert)? Falls NEIN, so ist es leicht scheinheilig wenn wir uns über Apple aufregen und uns über die wunderbaren Gadgets freuen.
Die NYT berichtet über eine für mich überraschende Aktion: U.S. Underwrites Internet Detour Around Censors. Es geht darum, dass die US-Regierung Technologien fördert, die einen Zugang zum Internet z.B. auch dann erlaubt, wenn die Regierung die Verbindungen gekappt haben. Teil dieser Technologien ist z.B. ein "Internet im Koffer". Das ist ein möglichst unverfänglicher Koffer der z.B. aussieht als ob er gewöhnliche Unterhaltungselektronik enthält, jedoch in der Lage ist, ein unabhängige Verbindung ins Internet aufzubauen und gleichzeit über ein sog. "mesh network" viele Geräte wie PCs und Handys miteinander zu vernetzen. Dieses Projekt wird mit 2 Mio. USD gefördert, ist aber nur ein Teil eines 70 Mio. Projekts.
Diese Vernetzung des "mesh networks" beruht übrigens auf einer Technologie, die in Österreich entwickelt wurde: hier die Details von funkfeuer.at, z.B. über Mesh Routing. Hier ein Artikel der futurezone dazu: USA bauen Handy-Netze für Dissidenten auf.
Das mit den Handy-Netzen bezieht sich wohl auf eine andere Aktion, nämlich den Aufbau eines Handynetzes für die Rebellen in Libyen. Dabei wurden aber ganz normale High-Tech Geräte eingesetzt, mühsam über Umwege beschafft - der Artikel im WSJ: Rebels Hijack Gadhafi's Phone Network.
Politisch interessant ist das ganze weil dies natürlich für die US-Regierung ein deliktater Eiertanz ist. Hillary Clinton betont, dass es ihr "nur" um die Freiheit des Internets geht und nicht darum, Diktatoren zu stürzen. Der Eiertanz besteht anderseits aber auch darin, dass die US-Firmen es sind, die die Diktatoren mit den Technologien auszustatten, mit deren Hilfe sie die Bürger übewachen können, und sehr bald vermutlich auch, mit deren Hilfe sie solche Untergrundnetze stören oder infiltrieren können. Das Infiltrieren sollte recht einfach gehen, denn das Netz beruht ja aus einer Vernetzung vieler unabhängiger Geräte, da sollte eine Unterwanderung kein großes Problem sein. Der Iran tönt bereits, dass sie eine Lösung parat hätten. Ob die besser funktioniert als die Abwehr von Stuxnet?
Aktualisierung Aug. 2011:
Ein ähnliches Thema behandelt der Artikel Anticensorship in the Internet's Infrastructure. Sie stellen ein Konzept vor, mit dessen Hilfe ein internationales System aufgebaut werden kann, mit das die Zensurbemühungen einzelner Länder ausgehebeln kann ohne dass Informationen wie die Adressen von Proxy-Servern in das zensurierte Land gebracht werden müssen. Es ist ein recht interessantes Konzept, es erfordert die Mitarbeit einer Reihe von Schlüssel-ISPs (Internet Service Providern) in Ländern, über die sehr viel Web-Traffic läuft.
Derzeit zumindest noch schaffen es auch diktatorische Regime, Technologien zu ihren Zwecken einzusetzen. Hier ein Angriff der dem Iran zugeschrieben wird. Und auch Libyen hat sich zu helfen gewusst: Libysche Internetüberwachung mit ausländischer Hilfe. Hier der Artikel dazu im WSJ: Firms Aided Libyan Spies. Die Diktatoren verwenden die gleichen fortgeschrittenen Überwachungstechnologien, wie z.B. Netzwerkanalyse wie die westlichen Geheimndienste, sie kaufen nämlich von den gleichen Lieferanten.
Manchmal freuen wir Sicherheitsexperten uns (mehr oder weniger klammheimlich) wenn mal wieder irgendwo eine Website geknackt wurde, weil wir die Hoffnung haben, dass das auch unsere Position in den Unternehmen stärken wird. Ob das passiert, ist offen. Aber klare Nutznießer der Publikation selbst relativ harmloser Attacken sitzen wo anders: im immer größer werdenden Cyber-Militär Komplex.
Die Studie "Loving the Cyber Bomb" (volle Version als PDF) führt am Beispiel des Vorspiels zum Irak Krieg an, wie eine Threat Inflation, d.h. übertriebene Bedrohungsszenarien dazu führen können, dass sich nur wenige trauen, gegen, im Fall von Irak, den Angriff zu votieren. Bzw. im Fall der Bedrohungen im Internet sprechen nur wenige aus dass die großzügige Aufstockung des Budgets von Cyber-Sicherheitsbehörden ungerechtfertigt ist und dass die Industrie sehr wohl in der Lage ist, mit den jetzigen Bedrohungen wie Industrie-Spionage und Denial of Service (DoS, dDoS) durch die Botnets umzugehen. Dies betrifft vor allem die Cyber-Aufrüstung in den USA, aber auch in anderen Ländern wird entsprechend Druck gemacht.
Aus der Einleitung der Studie:
The rhetoric of “cyber doom” employed by proponents of increased federal intervention, however, lacks clear evidence of a serious threat that can be verified by the public. As a result, the United States may be witnessing a bout of threat inflation similar to that seen in the run-up to the Iraq War. Additionally, a cyber-industrial complex is emerging, much like the military-industrial complex of the Cold War. This complex may serve to not only supply cybersecurity solutions to the federal government, but to drum up demand for them as well.
Wir Europäer könnten behaupten, das betrifft uns erst mal nicht direkt was in den USA passiert, aber US-Behörden dürfen auf europäische Cloud-Daten zugreifen, das heißt erweiterte Befugnisse der US-Behörden ermöglichen auch den Zugriff auf die europäischen Daten (bzw. die EU-Behörden rücken die Daten, wie bei den Flugpassagieren, frewillig raus. Wenn die Panikmacher sich durchsetzen wird das Ergebnis eine Beschneidung der Freiheiten im Internet sein durch (noch systematischere) Überwachung des Datenverkehrs sein.
Wir professionellen Sicherheitsexperten sitzen da ein wenig in einer Zwickmühle. Einerseits müssen wir auf die Bedrohungen aufmerksam machen, anderseits müssen wir auch vor Panik und (vor allem staatlichen) Übereifer warnen. Wenn da z.B. von mehr als 1 Mio. Angriffen pro Tag auf Regierungsseiten in den USA (Behauptung von Rep. Adams Smith) oder ähnlich wahnwitzigen Zahlen auch in Deutschland berichtet wird, so ist sehr wohl wichtig, dass jemand darauf hinweist, dass nicht jeder automatisierte und systematische Port Scan ein Angriff ist und jeder Scipt Kiddy eine existenzielle Gefährdung der Landessicherheit darstellt.
Diese Angriffe sind (leider) business-as-usual im Internet und jede Behörde oder Firma, deren Netz das nicht aushält, muss ihre Hausaufgaben neu machen. Selbst massives dDoS ist ein Vorgang, mit dem Firmen immer wieder zu kämpfen haben ohne dass Beschädigungen der kritischen Infrastruktur auftreten.
Stuxnet hat gezeigt, wie riesengroß der Aufwand ist, um 1 Kraftwerk und eine Urananreicherung lahm zu legen. Die gesamte Stromversorgung eines Landes wäre ein ungleich komplexeres Ziel.
Verwandtes Papier von der gleichen Universität: Beyond Cyber Doom - Cyber Attack Scenarios and the Evidence of History.
Ein Artikel zum Thema The Wrong War: The Insistence on Applying Cold War Metaphors to Cybersecurity Is Misplaced and Counterproductive behandelt sehr ähnliche Fragen. Die Autoren Peter W. Singer und Noah Shachtman kritisieren, dass heute viele Befürworter der Aufrüstung im Cyberspace Parallelen zum Kalten Krieg der 2. Hälfte des 20. Jahrhunderts aufzeigen. Auch das ist eine "Threat Inflation", mit denen sie hohe Rüstungsausgaben fordern, aber die eigentlichen Probleme ignorieren:
In the meantime, a real national security danger is being ignored: the combination of online crime and espionage that's gradually undermining our finances, our know-how and our entrepreneurial edge. While would-be cyber Cold Warriors stare at the sky and wait for it to fall, they're getting their wallets stolen and their offices robbed.
Der letzte Teil, "getting their wallets stolen and their offices robbed", wurde in diesem Jahr ja drastisch demonstriert. Die Autoren zeigen dann detailliert auf, dass die bessere Parallele mit der augenblicklichen Situation bei Internet(un)sicherheit ist die Situation mit den Piraten der Meere und das was 1840 und 1850 passiert ist. Sie wie es heute "patriotic hackers" gibt, so gab es damals staatsnahe Freibeuter. Die US-Navy hatte 23 Schiffe, die privat finanzierte Privateer Fleet hatte 517. Sie war es, die die englische Flotte so bedroht hat, dass es zu einem Verhandlungsfrieden kam. Sie sehen sehr ähnliche Lösungsansätze wie die, die damals auch geholfen haben.
In clamping down on piracy and privateering a two-pronged approach was adopted, which went beyond just shoring up defenses or threatening massive attack as the Cold Warriors would have it. The first step was to go after the underlying markets and structures that put the profits into the practice and greased the wheels of bad behavior. London dismantled markets for trading pirate booty; pirate-friendly cities like Port Royal, Jamaica, were brought under heel, and blockades were launched on the potentates that harbored the corsairs of the southern Mediterranean and Southeast Asia. Today, there are modern equivalents to these pirate havens. For example, the networks of just 50 Internet service providers account for around half of all infected machines worldwide, according to a study prepared for the Organization for Economic Cooperation and Development. Just three firms process 95 percent of the credit card transactions for the bogus drugs advertised by spammers, according to research presented at the IEEE Symposium on Security and Privacy in May. When one particularly noxious hosting company - McColo Corp. of San Jose, Calif. - was taken down, the volume of spam worldwide dropped by 70 percent. Without the support of these companies, online criminal enterprises can't practice their illegal action, which not only cleans the seas, but also makes it easier to identify and defend against the more serious attacks on infrastructure. And, much like the pirate-friendly harbors of old, those companies and states that allow cybercrime a legal free pass are generally known.
Weiter unten mehr zum Thema Cyber War.
Sony
 |
Quelle: "Smart Metering and mögliche Auswirkungen auf die nationale Sicherheit" cybersecurityaustria.at |
Die 1. Hälfte 2011 war bisher reich an Sicherheitsskandalen, zum Teil bei recht reputablen Firmen von denen man das evtl. nicht erwartet hätte. Ich gehe rückwärts vor - gerade nach aktuell ist Sony.
Sony hatte sich mit der Rootkit-Geschichte in 2005 ordentlich ins Knie geschossen. Sehr schön zusammengefasst wird dies auch hier: PlayStation Network breach. Mehr Details gibt es auch in der Wikipedia.
In heise.de wird berichtet, dass die Verwundbarkeiten auf der Sony Website bereits lange vorher öffentlich diskutiert worden waren. Und dann geht es immer weiter, die reparierten Seiten haben neue Sicherheitsprobleme. Und dann noch: Sony-Server in Thailand gehackt. Dann sind Kundendaten von SonyEricsson Kanada verschwunden
Und hier ein Bericht mit (leider etwas verwirrenden) Zahlen über den materiellen Schaden für Sony: Sony kündigt Milliardenverlust an (aber nicht nur wegen der Kundendaten, aber ein deutlicher Umsatzeinbruch wird auch berichtet).
Aktualisierung Juni 2011:
Es geht immer weiter bei Sony: Hacktivisten knacken Datenbank von Sony Pictures. Mit Hacktivisten werden Angreifer bezeichnet, die mit (zumindest vermeintlich) politischer Motiviation ihre Angriffe vollziehen und (in der Regel) nicht auf Geld aus sind (aber trotzdem oder gerade deswegen) großen Schaden anrichten - siehe der Angriff auf HBGary weiter unten).
Diesmal wurde in die Website von Sony Pictures eingedrungen (ich vermute mittels SQL-Injection) und 1 Kundendaten abgezogen, zehntausende davon als Beweis ins Internet gestellt. Die Hacker stahlen nach eigenen Angaben sensible Daten, „inklusive Passwörtern, E-Mail-Adressen, Wohnanschriften, Geburtsdaten und allen Daten zur Registrierung bei den Sony-Kundenkonten“. Unangenehm sind auch die 3,5 Mio Gutscheincodes. Zugriff bestand auch auf die Datenbanken der niederländischen und belgischen Niederlassungen von SonyBMG.
Mitte Juni 2011 werden drei mutmaßliche Anonymous-Aktivisten verhaftet. Kurze Zeit später wird veröffentlicht, dass Hacker 177.000 Mails von Sony Pictures Frankreich gestohlen haben. Auch SEGA hat sich im Juni hacken lassen, siehe unten.
Hier setzt sich ein österreichisches Mitglied der Hacker-Community mit den ethischen Aspekten aus Sicht der Hacker-Ideale auseinander.
Und ganz zu letzt eine Seite aus Deutschland mit Tipps für IT-Laien zu diesem Diebstahl und was Sony-Kunden tun sollten.
Aktualisierung Juli 2011:
Sony wird nicht in Ruhe gelassen (und bekommt offensichtlich auch die Sicherheit seiner bestimmten über 1000 Websites nicht hin): Hack: Sony Webseite verkündet Falschmeldungen.
Aktualisierung Oktober 2011:
Und im Herbst dann wieder Sony: Neuer Großangriff auf Sonys Online-Dienste . Diesmal sei es in rund 93.000 Fällen gelungen, in Konten einzudringen; diese seien voerst gesperrt worden. Das sind zwar deutlich weniger als die 100 Millionen Kunden vom Frühjahr, aber peinlich ist es trotzdem, dass Sony es immer noch nicht schafft ALLE seine vielen Systeme abzusichern.
Die Angreifer hätten versucht, sich in zahlreiche Nutzeraccounts einzuloggen. Die Versuche hätten darin bestanden, gültige Accounts durch Ausprobieren mit langen Listen von Anmelde-IDs und Passwoertern zu finden. 0,1 Prozent der Login-Versuche waren erfolgreich, das entspricht 93.000 Accounts. Das spricht wieder einiges dafür, vielleicht doch etwas komplexere Passworte zu verwenden.
 |
| Die RSA SecureID Token auf die es die Angreifer evtl. abgesehen hatten |
RSA
Dann kommen wir zu RSA. Es ist unklar, was eigentlich genau passiert ist, aber irgendwie gab es einen Einbruch ins Netz und Angreifer haben wohl Informationen erbeutet. Die Kronjuwelen von RSA sind die Algorithmen und "Seeds" für die Einmalpassword-Token. Aber ein Angriff über die Algorithmen der One-Time-Passwords lässt sich kaum flächendeckend einsetzen, z.B. um auf Bankkonten von Privatpersonen zuzugreifen. Diese Geräte werden fast nur in der Industrie eingesetzt. Dieser Aufwand lohnt eigentlich nur, falls jemand ein sehr hochkarätiges Ziel im Auge hat, bei dem diese Token eingesetzt werden (und zwar ohne die empfohlenen PIN-Codes).
Hier beschreibt RSA wie bei ihnen eingedrungen wurde. Die Einleitung, dass sie nicht die einzigen wären, denen das passiert ist, ist m.E. ein wenig billig und überflüssig. Die kurze Zusammenfassung: Jemand bei RSA hat ein Mail mit einem Spreadsheet mit dem Namen "2011 Recruitment plan.xls" bekommen, in dem eine neue (0-day) Flash Vulnerability ausgenutzt wurde.
Und angeblich beruht der Angriff auf die Support-Server von Lockheed Martin auf den Informationen über die SecurID-Produkte.
Aktualisierung Juni 2011:
Nachdem RSA eine Weile recht bestimmt erkärt hatte, dass ihre SecureID nicht bei Lockheed Martin beteiligt seien, kam dann eine Presse-Erklärung: ". . . on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, . . ." und das Angebot an alle Nutzer, die ca. 40 Mio. Geräte auszutauschen. Weitere Details finden sich auf ars technica.
RSA Gets a Security Chief. Hintergrund ist, dass RSA keinen eigenen Chief Security Officer (CSO) hatte, sondern dass dies vom CSO der Mutterfirma EMC miterledigt wurde. Der neue Mann war CSO von NetWitness, deren Software den Angriff entdeckt hat und die dann von RSA gekauft wurde. Seine Äußerung dazu auf Twitter: 'Der einzige Job der wohl noch herausfordernder ist wäre CSO von Sony'. Ebenfalls in diesem Artikel die Bestätigung meiner Vermutung von weiter oben, dass Ziel des Angriffs auf RSA war, in der Folge gezielte high-value Target Angriffe durchzuführen: "After playing down the danger to its customers for more than a month, RSA said this week that the hack appeared to have been part of an effort to infiltrate military companies and that Lockheed Martin was successfully attacked in May".
Die NYtimes berichtet über Unmut bei den RSA-Großkunden. Und es ist immer noch nicht ganz klar, wie der Einbruch bei Lockheed Martin geschah: "Industry officials said that Lockheed, the nation’s largest military contractor, made the security changes suggested by RSA after its attack in March. They included increased monitoring and addition of another password to its remote log-in process. Yet the hackers still got into Lockheed’s network, prompting security experts to say that the tokens themselves needed to be reprogrammed." . . . "Experts have speculated that the hackers obtained at least part of the RSA databases holding serial numbers and other critical data for the tens of millions of tokens. But to make use of the data stolen from RSA, security experts said, the hackers of Lockheed would also have needed the passwords of one or more users on the company’s network. RSA has said that in its own breach, the hackers did this by sending “phishing” e-mails to small groups of employees, including one worker who opened an attachment that unleashed malicious software, enabling the hacker to obtain the worker’s passwords."
Aktualisierung Aug. 2011:
Hier spannende Hintergründe zum RSA Angriff.
Aktualisierung Oktober 2011:
RSA meldet sich wieder: RSA: "Wir wurden von einem Staat gehackt".
"Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen. Es lägen aber nicht genügend Belege vor, um einen bestimmten Staat auszumachen. Außerdem sei man auf zwei verschiedene Gruppen gestoßen, die hinter dem Angriff stecken. Beide Gruppen waren den Ermittlungsbehörden zuvor bekannt gewesen – aber nicht, dass sie zusammen arbeiten. Klar wurde auch, dass RSA nicht das eigentliche Ziel der Angriffe war. Vielmehr ging es darum, die gestohlenen Infos für weitere Attacken auf andere Unternehmen zu nutzen. Coviello besteht weiterhin darauf, dass kein erfolgreicher Angriff mit den geklauten RSA-Daten möglich gewesen sei. Der Angriff auf Lockheed-Martin war wohl eine Folge des RSA-Hacks, wurde aber rechtzeitig abgewendet."
Aktualisierung Nov. 2011:
Krebs-on-Security berichtet, dass 700 andere Firmen vom gleichen Angreifer geknackt worden waren, der auch bei RSA erfolgreich war. Das spricht gegen die These eines gezielten Angriffs. Anderseits kann es gut sein, dass die Angreifer, nachdem sie gemerkt haben auf welche Goldgrube sie da gestoßen sind, mit gezielter Handarbeit nachgeholfen haben. Woher kommt die Zahl der 700 Opfer? Das ist die Zahl der IP-Adressen, die auf einem Command&Control Server gefunden wurden, auf den auch die Trojaner bei RSA sich gemeldet haben. D.h. der RSA-Angriff war Teil einer längeren Kampagne, die offenbar bereits seit Nov. 2010 lief. Die Details sind in dem Link.
HBGary gegen WikiLeaks / Anonymous.
Die Firma HBGary hat einige sehr technische Spezialisten (Greg Hoglund hat zahlreiche Bücher zu Rootkits und Software Exploits geschrieben). Aaron Barr meint, dass er alles über Social Networks weiß und wie man damit am besten Social Engineering machen kann. Moralische Skrupel haben sie exakt Null.
Und dann glaubt Aaron Barr, dass er sich mit Anonymous anlegen sollte, als diese sich selbst zum Verteidiger von WikiLeaks ernannt hatten. Und zwar möchte er das tun indem er den Mitgliedern in Social Networks und Chat-Roooms Fallen stellt. Anonymous sagt, dass er damit Unschuldige bei den Behörden angeschwärzt hat und rächt sich hart und brutal: Die Firma existiert heute nicht mehr.
Die Geschichte ist extrem spannend und lehrreich. Hier die Links zu allen Details, inkl. den Chats zwischen Barr und Anonymous. Sehr spannend - Hybris und Selbstüberschätzung gegen Skrupellosigkeit. Die Skrupellosigkeit gewinnt und zwar deutlich.
Der US-Komiker Stephen Colbert nimmt sich HBGary vor und fasst die ganze Geschichte sehr schön zusammen. Und hier ein noch Beitrag: Was Anonymous vs. HBGary über die Security Industrie aussagt. Hier ein Artikel über Anonymous mit vielen Beispielen ihrer Aktivitäten: Crude, Inconsistent Threat: Understanding Anonymous.
Aktualisierung Juni 2011:
Sehr ähnlich läuft das jetzt bei LulzSec, eine andere Hacktivisten-Gruppe. Sie infiltrieren Sony Pictures, den öffentlichen Fernsehsnder PBS und dann InfraGard, die mit Homeland Defense zusammenhängen. Und sie sagen, dass Karim Hijazi, Leiter des Sicherheitsunternehmens Unveillance LulzSec Geld geboten habe, um gegen Konkurrenten vorzugehen.
Aktualisierung ebenfalls Juni 2011:
Diesmal kein Skandal für die betroffene Firma (Google), so wie sich das bis jetzt darstellt waren es Phishing-Angriffe auf die die Gmail-Nutzer reingefallen sind, das kann jeder Firma passieren. Hier eine gute Dokumentation eines gezielten Phishing-Angriffs, offenbar mit politischem Hintergrund. Der Artikel in der Futurezone: Gmail von chinesischen Hackern angegriffen und die Details gibt es hier: Targeted attacks against personal accounts of military, government employees and associates. Sehr interessant, weiter unten auf der Seite sind die Screenshots der betreffenden Emails und der Phishing-Website.
Neckermann.de
Sehr wohl peinlich ist die Sache bei Neckermann.de: Daten von über einer Million Kunden bei Neckermann.de gestohlen. Es geht um vermeintlich harmlose Daten von einer Gewinnspielwebsite (Name und Email). Aber auch damit lassen sich sehr effektive Phishing-Angriffe starten - die Angreifer wissen immerhin, dass jeder dieser 1,2 Mio Adressen nicht unüberrascht ist, wenn da ein Mail eintrudelt mit dem Betreff "Sie haben gewonnen" und dem Text "Bitte klicken Sie hier um sich den Gewinngutschein runterzuladen."
Citigroup
Und es geht immer weiter. Bereits im Anfang Mai hatte sich Citigroup die Daten von 1% ihrer Kreditkartenkunden abnehmen lassen, aber das sind bei 21 Mio. Kunden immerhin 200 000. Citigroup betont, dass es sich "nur" um Name, Anschrift, Email und Kreditkartennummer handelt, aber immerhin. Citigroup beginnt jetzt nach 4 Wochen damit, die Kunden zu informieren. Citigroup hatte 2009 und 1995 bereits größere Einbrüche. Außerdem war Citigroup und seine Kunden im April bei dem großen Databreach vom Email-Versender Epsilon beteiligt und hatte damals ziemlich prompt ihre Kunden über Twitter informiert. Diesmal hat es deutlich länger gebraucht.
Die Regulatoren in den USA verlautbaren, dass dieser Vorfall evtl. der Strohhalm war, der noch gefehlt hat um strengere Sicherheitsregeln für Finanzdienstleister zu erlassen. In den letzten 6 Jahren gab es 288 öffentlich bekannte Data Breaches mit mindestens 83 Mio. Betroffenen.
Ein Artikel untersucht die grundsätzliche Fragestellung Kreditkartenbetrug: Die Verluste sind von 15 cents pro $100 in 1992 auf 5 cents pro $100 in den letzten 6 Jahren gefallen. Damit kann die Kreditkartenindustrie leben. Nicht damit leben können die betroffenen Kunden und vor allem die Händler, die sehr oft nicht nur kein Geld für betrügerische Käufe mit gestohlenen Kreditkarten bekommen, sondern oft auch noch eine 25$ Rückabwicklungsgebühr zahlen.
Anonymous sagt, sie seien nicht beteiligt weil sie aufgehört hätten sich um Banken zu kümmern. 'Es sei langweilig', sagte ein Sprecher. 'Wenn jemand wie Citigroup auf seiner Website 128-bit Verschlüsselung als Stand der Technik anpreist dann ist uns das Angreifen zu einfach.'
18.6.: Die Zahl der Betroffenen wird von Citigroup auf etwas über 360.000 korrigiert. Außerdem ist jetzt klar, wie der Angriff ablief: Diesmal keine SQL-Injection sondern noch viel einfacher - wer einen legalen Account hatte der konnte in der Zugriffs-URL einen Parameter einfach hochzählen und auf andere Accounts zuzugreifen. Das zu automatisieren war sehr einfach. Dadurch erklärt sich auch, warum "nur" 360 000 Kunden betroffen sind - der Angriff ist langsam und wurde wohl irgendwann entdeckt.
Interntionaler Währungsfonds (IMF / IMF)
Im Juni dann veröffentlicht der IMF, dass Angreifer seit einiger Zeit (sicher bereits vor dem 14. Mai) in ihrem Netz unterwegs sind: Cyber-Attacke auf den IWF. Das Ausmaß ist nicht ganz klar, vorsichtshalber hat die World Bank ihre Netzverbindungen zum IWF unterbrochen. Mögliches Ziel sind vertrauliche Unterlagen über die detaillierten Finanziellen Situationen von Ländern, die sich evtl. Nutzen lassen, gegen diese Währung zu spekulieren.
SEGA
20.6.: Der japanische Vidoespieleentwickler Sega hat sich persönliche Informationen von rund 1,3 Millionen Kunden aus seiner Datenbank stehlen lassen. Es geht um Namen, Geburtsdaten, E-Mail-Adressen und verschlüsselte Passwörter. Mit verschlüsselten Passwörter sind vermutlich die Hashes gemeint. Daraus lassen sich, abhängig ob dabei MD-5 oder etwas besseres wie SHA-256 verwendet wurde und abhängig davon, wie lang und wie komplex die Benutzerpassworte sind, über die sog. Rainbow-Tables die Passworte evt. bestimmen. Diesmal steht LULZSEC auf der anderen Seite und bietet SEGA Hilfe an. Hier mehr zum Thema Passworte.
Angriffe auf die SPÖ und was Benutzer davon über Passworte lernen können
1.7.2011: Anonymous Austria schlägt bei der FPÖ und der SPÖ zu, ist aber nur bei letzteren erfolgreich, dort aber kräftig. Die Website wird übernommen, verunstaltet und 640 Benutzernamen, Email-Adressen und Klartext-Passworte abgezogen und veröffentlicht. Wenige Tage später ist die Bezirksstelle St.Pölten dran: Diesmal waren die Passworte wenigstens gehasht, leider nicht sehr stark und die schwächeren Passworte, d.h. leider fast alle, ließen sich leicht knacken.
Und dazu muss ich jetzt ein paar Worte sagen. Schauen wir uns die Passworte an, in der Reihenfolge wie sie veröffentlicht wurden: test, xxx, 123456, 1234567, stoani, apfelsaf6 (hier wurde sich zumindest ein wenig bemüht), 123456, spoepitt, paranal, gummibaum, ll, suevia1803 (immerhin), wbb, Bezirksblatt, felix, echo, alex, doors, andrea, wirtschaftsnachrichten (na das ist wenigstens ordentlich lang, daraus könnte man ein sicheres Passwort machen), echo, gnurf, gori, staedtebund, maria, porsche, sommer04 (ich warte immer noch auf das 1. wirklich gute Passwort), None, skater, testetsdf, 5ZA8pfXC (endlich ein sicheres), iknahil, gmunden, 1234, jkl, s@lem4me (=salem-for-me: gut !!), marx, 3zenmfb (gut), 301268, b05740, . . . . (hier mache ich dem grausamen Spiel ein Ende).
Was ich hier sehe ist, dass es nur ganz wenige Leute zu geben scheint, die wissen, wie man sich ein gutes und doch merkbares Passwort basteln kann. Und dabei liesen sich aus vielen der hier genutzten Passworte auch gute machen.
Auf jeden Fall ganz schlecht sind alle, die nur Zahlen enthalten und 123456 ist natürlich der erste Versuch jedes Hackers. Aber auch reine Kleinbuchstaben sind nicht viel sicherer als reine Zahlen, das heißt maria, echo, felix, alex sind nicht wirklich besser als 123456.
Gut sind Passworte, die mindestens 8 Stellen haben, mindestens 1 Zahl oder Sonderzeichen und mindestens einmal zwischen Groß- und Kleinschreibung wechseln. Und ganz wichtig ist: Die Zahl darf nicht am Ende stehen und der Großbuchstabe nicht am Anfang. D.h. z.B. für suevia1803, dass daraus sehr leicht das wirklich gute Passwort sue1830viA hätte gemacht werden können. Und das merkt man sich genauso leicht wie das unsichere Orginal. Oder zenmfb3Zenmfb wäre deutlich besser als 3zenmfb (weil länger ohne schwerer zu merken zu sein. Oder gnurf wird besser wenn es als gNurf--gNurf verwendet wird. Oder staedtebund wird zu st@edte++Bund. Und None wird zu nONE1999----.
Kurze Passworte kann man leicht länger machen, indem man einfach Teile davon wiederholt, wie in den obigen Beispielen. Dadurch wird es für den Angreifer schwerer, aber für den Benutzer fällt das Merken genauso leicht. Und auch wenn das gleiche Sonderzeichen mehr als einmal vorkommt so wird es für den Angreifer dadurch nicht leichter.
Noch ein Trick: Auf keinen Fall das gleiche Passwort bei mehreren Systemen verwenden, z.B. bei der SPOE und im Internetbanking und in Facebook. Wenn eine der Webseiten geknackt ist, wie z.B. die SPOE hier, so probieren die Angreifer das gleiche Passwort bei Facebook, gmail, yahoo-mail, gmx, hotmail, etc. aus. Hier mein Vorschlag für den Besitzer von None: nONE1999SPOE bei der SPÖ, nONE1999Book bei Facebook, nONE1999gmx bei GMX, etc. Besser noch ist z.B. der erste und letzte Buchstabe der Website, z.B. FK für Facebook und GX für GMX und HL für hotmail. Der Phantasie sind hier keine Grenzen gesetzt.
Für wirklich kritische Passworte wie Internetbanking sollten Sie allerdings wirklich ein Passwort wählen, das anders ist als ihre anderen Passworte.
An anderer Stelle findet sich ganz viel über Passworte.
 |
Quelle: IBM X-Force 2011 Mid-year Trand and Risk Report |
Juli 2011: 90.000 Passwörter von Booz Allen Hamilton
Es nimmt kein Ende: Anonymous späht 90.000 Passwörter von US-Militärs aus:
"Das Hacktivisten-Kollektiv Anonymous ist in einen Server der Sicherheitsfirma Booz Allen Hamilton eingedrungen und hat rund 90.000 Mailadressen und Passwort-Hashes aus US-Militärkreisen veröffentlicht. . . . . Die Passwörter wurden von der Firma nicht im Klartext gespeichert, sondern vor dem Speichern mit SHA-1 gehasht. Da sie laut Anonymous nicht gesalzen sind, dürften Passwortknacker jedoch innerhalb kürzester Zeit das dazugehörige Klartextpasswort wiederherstellen können."
Diese Techno-Lingo bedeutet, dass auch diese Programmierer die üblichen Anfängerfehler gemacht haben wie die anderen Web-Programmierer (siehe die Geschichten weiter oben). Das ist aber keine Entschuldigung, denn mittlerweile sollte jeder Web-Programmierer gelernt haben, dass es Menschen gibt, die versuchen in Website einzudringen und dass man bei Organisationen wie OWASP lernen kann, wie man das verhindert.
Noch ein Public-Relations-Eigentor:
'Booz Allen Hamilton gab bei Twitter bekannt, sich nicht zu dem Vorfall äußern zu wollen: "Aufgrund unserer Sicherheitsrichtlinien kommentieren wir spezifische Bedrohungen oder Angriffe auf unsere Systeme nicht. Diese Steilvorlage ließ sich Anonymous nicht entgehen: "Ihr habt Sicherheitsrichtlinien? Wir sind verblüfft. Ist uns gar nicht aufgefallen.'
Why we secretly love LulzSec
Patrick Gray schreibt über den Zustand der IT-Sicherheit und warum bei den IT-Sicherheits-Evangelisten heimliche Freude aufkommen kann, wenn sie LULZSEC und andere beobachten. Und hier eine intelligente Replik dazu. Im Microsoft Technet ist ein Artikel zu der Frage LulzSec und Anonymous: Wachrüttler oder gefährliche Chaoten?. Ein Beitrag in salon.com betrachtet The life and death of LulzSec.
Evtl. gibt es einen Zusammenhang zwischen all diesen Angriffen. McAfee berichtet von einer langjährigem systematischen Angriffswelle und in diesem Artikel werden Zusammenhänge vermutet: Hacker drangen in Server fast aller Regierungen ein (hier der Originalreport (pdf) ). Zum Thema Shady RAT vs. Shoddy RAT gibt es Ende des Jahres eine Kontroverse zwischen den bekannten Sicherheitsfirmen.
2. Aktualisierung August 2011:
Der Artikel Guardians of Internet Security Are Targets in der NY Times nimmt den erfolgreichen Angriff auf ManTech International, ein maßgeblicher Lieferant für das F.B.I als Anlass undfasst die vielen Angriffe zusammen und schreibt dabei einiges zum Stand der IT-Security Industrie. Zitate:
"Many technology professionals who have long warned about such security risks say so-called hacktivist groups like Anonymous, which publicize their attacks to make a point, are the least worrisome of the many potential intruders out there.". . . .
“With the rise of hacktivism, now the people who break into you tell you they break into you,” said Jeff Moss, founder of the Black Hat conference, [] “a little bit of public humiliation is going to go a long way in helping the security industry clean up.”
"RSA’s parent company, EMC, has said that replacing tokens and cleaning up the mess has cost it roughly $90 million so far this year. Hackers used information obtained in the RSA attack to break into Lockheed Martin, the largest military contractor in the country."
Aktualisierung Sept. 2011: Cyber Weapons
Während sich ein großer Teil meines obigen Beitrags mit den Hacktivisten wie Anonymous und LULZSec beschäftigt (siehe meine Typologie der Angreifer weiter unten) schreibt ein sehr guter Artikel in der BusinessWeek über die Cyber-Krieger: Cyber Weapons: The New Arms Race. Richtig spannend wird es jedoch erst in der zweiten Hälfte, dort wird die Firma Endgame vorgestellt und zwar als "well-known broker of zero days between the community and the governments". Das heißt, sie kaufen noch unbekannte Verwundbarkeiten (wo auch immer sie die im Markt finden) und verkaufen diese an Regierungen, die damit in Computer und Netze eindringen können. Zitate:
. . . Endgame executives will bring up maps of airports, parliament buildings, and corporate offices. The executives then create a list of the computers running inside the facilities, including what software the computers run, and a menu of attacks that could work against those particular systems. Endgame weaponry comes customized by region—the Middle East, Russia, Latin America, and China—with manuals, testing software, and “demo instructions.”
There are even target packs for democratic countries in Europe and other U.S. allies. Maui (product names tend toward alluring warm-weather locales) is a package of 25 zero-day exploits that runs clients $2.5 million a year. The Cayman botnet-analytics package gets you access to a database of Internet addresses, organization names, and worm types for hundreds of millions of infected computers, and costs $1.5 million. A government or other entity could launch sophisticated attacks against just about any adversary anywhere in the world for a grand total of $6 million. Ease of use is a premium. It’s cyber warfare in a box.
Das klingt nicht nur schlimm, das ist es auch. Endgame und andere Firmen sind im internationalen Markt tätig und stellen vermutlich wenige Fragen wozu jemand die Angriffswerkzeuge braucht. Und wie in dem Artikel dargelegt ist eine der wichtigsten Eigenschaften von Cyberwar, dass die Opfer eigentlich nie wirklich sicher sein können, wer den Angreifer ist. D.h. das ist auch eine gute Möglichkeit, einen Krieg zwischen traditionellen Erzfeinden vom Zaun zu brechen.
Aktualisierung Nov. 2011: The Nitro Attacks
Symantec berichtet über Angriffe gegen mindestens 48, vermutlich bis zu 100 Firmen, bei denen zum Teil über einige Monate Daten abgezogen wurden: Symantec hat die Angriffe Nitro Attacks genannt, weil es viele Firmen im Chemiebereich oder in der Forschung zu "Advanced Materials" getroffen hat. Das besondere bei diesen Angriffen ist eigentlich, dass sie im Gegensatz zu anderen aus diesem Jahr recht einfach gemacht wurden. Keine Zero-Day Verwundbarkeiten kamen zum Einsatz, sondern oof-the-shelf Angriffswerkzeuge, wie sie auf den einschlägigen Börsen für wenig Geld zu haben sind. Es wurden Emails an Firmenmitarbeiter versendet, die Anhänge haben eine weit verbreitete Steuerungssoftware mit dem Namen PoisonIvy verwendet und über Port 80 wurde dann eine verschlüsselte Web-Kommunikation simuliert um mit dem Command&Control Servern (C&C) Verbindung aufzunehmen. Und trotz dieser einfachen Mittel war der Angriff sehr erfolgeich.
DNS Manipulationen im großen Umfang
Ebenfalls im November wird darüber berichtet, dass ein großes kriminelles Netzwerk ausgehoben wurde, bei dem Millionen Rechner infiziert wurden und zwar mit dem Ziel, den Datenfluss der Benutzer über falsche DNS-Einträge (und andere Mittel) umzuleiten und mit Werbung zu versorgen, die auf der Originalseite gar nicht zu sehen ist (und zum Teil für wirkungslose Penis-Vergrößerungstabletten Vimax geworben hat). Außerdem haben die Angreifer mittels Scareware-Aktionen gefälschten Virenschutz an die Opfer verkauft. Der zweite Link (NYT) verlinkt dann auf TrendMicro wo dann sehr interessante technische Details zu finden sind.
Die wirklichen technischen Details finden sich dann in einem PDF von TrendMicro: A Cybercrime Hub. Einige Auszüge / Höhepunkte: Die Infrastruktur der Angreifer war sehr ausgedehnt und vielseitig - Die Trojaner die auf den PCs der Opfer installiert wurden verlinken auf DNS Server die die Angreifer betreiben. Von dort geht es auf firmen-eigene Porno-Websites, von denen dann auf andere Webserver verlinkt wird, wo vorgebliche Video-Codecs angeboten werden, die jedoch weitere Infektionen nach sich ziehen. Proxy-Systeme der Firma analysieren den Web-Verkehr der Opfer und fügen falsche Werbebanner ein, z.B. auf nicht-existierende Pharmaunternehmen die eine Pille names Vimax anbieten, diese Werbung kommt von Adserver der gleichen Firma. Andere Server stehen für die Verkaufsabwicklung von Fake-Virenschutz bereit, auf die bis zu 100 000 Benutzer pro Tag verlinkt wurden ("ihr Rechner ist infiziert, laden sie diese Reparatur-Software herunter - und kaufen Sie dann das Upgrade auf die kommerzielle Version").
Aktualisierung Nov. 2011:
Jetzt mal was zur Verteidigung gegen solche Angriffe. CERT.at hat ein kurzes Übersichtsdokument verfasst das sich an Betreiber von Web-Präsenzen richtet und auf 7 Seiten alles wichtige skizziert: Special Report: Erfahrungswerte aus den Webserver-Sicherheitsvorfällen von 2011.
Probleme mit Zertifikatsausstellern (CAs)
Aktualisierung 31.Aug. 2011: Iran hackt zurück
Es sieht so aus, als hätte auch der Iran gute Hacker in seine Diensten: Sie haben es geschafft, sich falsche Google SSL-Zertifikate auszustellen und zwar durch Eindringen in eine niederländische Certification Agency (CA) die es mit der Sicherheit nicht sehr genau zu nehmen scheint. Damit konnten die irakische Regierung die SSL-verschlüsselten Email der Gmail-Benutzer lesen, ohne dass es zu Sicherheitswarnungen kam. Weitere sehr anschauliche Artikel dazu von f-secure Diginotar Hacked by Black.Spook and Iranian Hackers und Sophos Google blacklists 247 certificates. Is it related to DigiNotar hacking incident?.
Die Skandale wollen kein Ende nehmen. Jetzt ist mit einem Einbruch bei der Certification Agency (CA) DigiNotar eine der Kernsäulen der Internetsicherheit, nämlich die SSL-Server Zertifikate und deren Integrität angeknackst worden. Die einzige gute Nachricht ist, dass es irgendwann dann doch entdeckt wurde (ganz langsam) und dass die für diesen Fall vorgesehenen Mechanismen wie Devalidieren von Zertifikaten jetzt eingesetzt werden. Anderseits hätte das eigentlich mehr oder weniger automatisch passieren sollen und nicht erst durch Code-Änderungen in den Browsern und Sicherheitsupdates von Microsoft. Das heißt nämlich dass nur diejenigen in den Genuss der neuen Sicherheit kommen, die ihre Geräte aktualisieren, und Konzepte wie CRLs und OCSP sollten eigentlich ohne Software-Aktualisierung greifen.
Wie kritisch das ganze geworden ist zeigt dieser Artikel: Niederländische Regierung übernimmt Kontrolle über DigiNotar. Bezeichnend ist diese Stellungnahme:
Bislang wurde das PKIoverheid-Stammzertifikat jedoch noch nicht zurückgezogen, weil dies sonst zu Ausfällen bei der Kommunikation von Computersystemen führen könne, die auf verschlüsselte Verbindungen angewiesen sind.
D.h. so einfach wie in der Theorie ist das alles gar nicht. In der Praxis haben wir dann die üblichen Probleme: Kritische Infrastruktur war unzureichend geschützt. Der Angreifer behauptet, noch in 4 Zertifizierungsstellen Zugriff zu haben.
Aktualisierung Okt. 2011: Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern
Es wird spekuliert, ob weitere CAs gehackt worden sind: Weitere Anzeichen für Einbrüche bei Zertifikatsherausgebern? Zitat: "Das sind also mindestens fünf CAs, die innerhalb von nur 4 Monaten geknackt wurden, um missbräuchlich falsche Zertifikate auszustellen. Und diese Zahl ist nur eine untere Grenze. In der großen Mehrzahl der Fälle – insgesamt über 900.000 Mal – zog es der Herausgeber der CRL vor, das Begründungsfeld leer zu lassen."
Das Problem sind dabei die CAs, denen Browser automatisch vertrauen. Dies ist die Position, die jeder Zertifikatsvertreiber natürlich sucht, denn dadurch sind seine Zertifikate für alle Websites geeignet ohne die Besucher mit einer Warnung zu verschrecken. Ein Autor der Electronic Frontier Foundation spekuliert, dass es vielleicht viel mehr solche Angriffe gibt. Der Artikel berichtet, dass bei einer Auswertung von Certificate Revocation Lists (CRLs) eine Liste von 14 kompromitierten CAs herausgekommen ist, davon 4 seit Juni 2011). Diese Schwachstelle der CAs stellt ein erhebliches Problem für die Sicherheit von SSL und TLS dar.
Aktualisierung Dez. 2011:
Ziemlich peinlich: Dutch SSL certificate provider Gemnet investigates website compromise: According to Webwereld, the hacker was able to break into gemnet.nl through a phpMyAdmin installation that wasn't password-protected. PhpMyAdmin is a popular software utility that facilitates the administration of MySQL databases through a Web interface. - Wenn das nicht grob fahrlässig ist, dann weiß ich es nicht. - Update: die Presseerklärung von Globalsign sagt, dass nur die Website gehackt worden sei.
Aktualisierung Feb. 2012:
Weitere Meldungen zum Thema Certfication Agencies (CA)
Ein Spezialist vom bundesdeutschen BSI äußert sich zu den Zertifikatsproblemen in den Niederlanden: Der Diginotar-SSL-Gau und seine Folgen. Er bestätigt, dass es eben nicht so einfach ist, einfach Zertifikate auf die Sperrliste zu setzen, denn dann funktioniert eben alles mögliche nicht mehr. Der Artikel berichtet auch über einen Zusammenschluss der Zertifikatsanbieter CAB-Forum, der strengere Regeln aufstellt, die Qualitätskriterien für solche Anbieter festlegen sollen.
Und in 2012 wird bekannt, dass es bei dem recht renomierten DNS-Betreiber und Zertifikats-Anbieter VeriSign in 2010 zu Einbrüchen kam, die aber dem Vorstand damals verschwiegen wurden, daher jetzt nachträglich eine Meldung an die Börsenaufsicht.
Trustwave
Der Ärger bei den CAs geht immer weiter: Trustwave verkaufte Man-in-the-Middle-Zertifikat. Genau Man-in-the-Middle Angriffe sollen ja durch die Zertifikate verhindert werden.
Der Artikel erklärt (mehr oder weniger klar) dass die Firma Trustwave einem Kunden die Möglichkeit gegeben hat, sich selbst Zertifikate auszustellen, die auf für fremde Websites gültig sind (z.B. Gmail, Facebook und Hotmail). Ziel des Unternehmens war es, den Datenverkehr ihrer Mitarbeiter auch dann überwachen zu können wenn diese per HTTPS auf diese Dienste zugreifen. D.h. das Unternehmen hat den Mitarbeitern vorgegaukelt, sie wären direkt mit dem Gmail oder Facebook verbunden. Gerechtfertigt hat die Firma (und Trustwave) dies damit, dass sie im Rahmen von DLP (Data Leak Prevention) überwachen wollen, ob die Mitarbeiter vertrauliche Daten ins Web laden. Um DLP legal einsetzen zu können muss ein Unternehmen sich "nur" mit dem Betriebsrat einigen und dann ist es sehr wohl möglich, den PC des Mitarbeiters mit einer entsprechenden Software zu versehen, die prüft ob jemand gewisse Arten von Daten, z.B. Kreditkarten, irgendwo hin lädt. Ob ein Betriebsrat diesem Ansinnen zustimmt wird sehr stark von den Umständen abhängen. Wenn das Unternehmen begründen kann, dass dies für die Zukunft des Unternehmens essentiell ist (z.B. bei einer Bank oder in einem Hochsicherheitsbereich), so wird ein Betriebsrat solchen Verfahren durchaus zustimmen und eine Mitwirkung bei der Datennutzung im konkreten Verdachtsfall verlangen. Außerdem ist es für die Erreichung des Zieles durchaus angemessen, dass die Mitarbeiter wissen, dass ihnen über die Schulter geschaut wird.
Trustwave hat jetzt erklärt, dass sie solche Blanko-Zertifikate nicht mehr ausstellen werden, allerdings sei dies durchaus übliche Praxis in der Industrie. D.h. das ganze System der HTTPS-Zertifikate scheint gründlich verrottet zu sein.
 |
Quelle: Die Zeit |
Die Vorratsdatenspeicherung beschäftigt uns jetzt seit 2007. Was die Vorratsdatenspeicherung in der Praxis bedeutet, hat ein deutscher Politiker aufgezeigt: Er klagte die deutsche Telekom, um seine eigenen Handy-Vorratsdaten zu erhalten und ließ von der deutschen Zeitung "Die Zeit" diese Daten dann auf einer interaktiven Karte auswerten. Das Ergebnis kann sich jeder im Internet ansehen: Man kann das komplette Leben dieses Politikers von August 2009 bis Februar 2010 bloß über diese Vorratsdaten nachvollziehen.
Auf der Karte werden seine Reisen interaktiven und dynamisch dargestellt, rekonstruiert aus den Ortungen die sein Mobilfunkanbieter routinemäßig durchführt und jetzt sammeln muss. Dazu findet sich rechts wie oft er angerufen hat oder eingerufen wurde, wieviele SMS ein- und ausgingen, und die Dauer seiner Internetverbindungen.
Aus öffentlich zugänglichen Quellen, z.B. seinen Tweets bei Twitter (die über spezielle Suchanfragen ebenfalls öffentlich zugänglich sind) wurden dann zusätzliche Hintergründe ergänzt. Für Forscher die sehen wollen, was sie aus diesen Daten noch alles rauskitzeln können gibt es den Datensatz im Download. D.h. dies sind Informationen die für Behörden (mehr oder weniger kompliziert) über JEDEN von uns der mit eingeschalteten Handy unterwegs ist verfügbar sind. Ich vermute, dass es dort auch ähnliche Programme gibt, mit denen unsere Bewegungen so toll visualisiert werden können.
Die Idee zu diesem Artikel stammt von einem anderen Artikel, in dem die Malicious Hacker-Gemeinde in 7 Klassen eingeteilt wurde. Für mich sind es aber "nur" 6 und meine Einteilung ist auch ein bisschen anders. Daher hier meine Version.
Cyberkriminelle.
Dies sind Profikriminelle, die mit Betrug schnelles Geld verdienen wollen und heute eben das Internet dafür nutzen. Sie sind technisch oft eher durchschnittlich, wissen aber, wo sie bei Bedarf Bankentrojaner oder Spyware kaufen können. Sie verdienen ihr Geld mit dem Abschöpfen von Bankkonten, Kreditkartenbetrug oder Kreditbetrug nach einem Identitätsdiebstahl. Sie kümmern sich um das Abkassieren von gestohlenen Kreditkarten, machen Bankomatkarten nach und ähnliches. Solche Angreifer gehen nicht gezielt vor sondern suchen sich schwache, ungeschützte Opfer. Gegen diese Cyberkriminellen schützt man sich durch Anwendung meiner ersten 3 PC-Tipps. Hier ein Artikel über Kriminalität unter den Kriminellen.
Ein Unterzweig dieser Kriminalität arbeitet mit Botnets und führt mit Denial-of-Service-Angriffen Erpressungen durch. Die Botnetze kann man von technischen Experten "leasen", die Aufgabe der Kriminellen ist das Kassieren des Geldes.
Spammer und Ad-Ware-Verbreiter, Domain-Squatter
Sie glauben nicht mal, dass sie kriminell sind, sie halten sich selbst für aggressive Marketingmenschen. Sie bekommen ihr Geld nicht von "Opfern", sondern von Firmen die über diese Tricks Besucher auf ihre Website locken wollen und ihnen dann einen Kredit oder Viagra verkaufen. Sie sammeln oder kaufen Email-Adressen und versenden Spams-Mails, oder sie kaufen als Domain- und Typo-Squatter Domain-Namen mit geringen Unterschieden zu populären Marken, legen dann Websites an auf die sie gestohlene Inhalte (z.B. aus Wikipedia) übernehmen (Search Engine Optimization, SEO) und dort mittels Google-Adwords Werbung platzieren. Sie werden dann ganz legal von Google für die Hits bezahlt wenn ihre Besucher auf diese Werbung klicken. Diese Klasse von "Internet-Abschaum" sind zumeist nicht sehr gefährlich aber sicher nervig. Eine andere Art von "Abschaum" sind Internet-Service Provider (ISPs), von denen einige in den USA erwischt wurden dass sie den Datenverkehr ihrer Kunden zu Suchmaschinen umleiten auf andere Websiten zu diesem Thema und sich dafür bezahlen lassen.
Industriespione, Cyberspionage
Das können Einzelpersonen sein oder größere Organisationen. Sie sind hinter Geschäftsgeheimnissen her, z.B. in der Form von Angeboten, Angebotsentwürfen, Konstruktionsplänen, Patentanträgen, aber auch Email-Sammlungen aus denen Mitbewerber etwas lernen können. Ihre Methoden reichen von Social Engineering Anrufen oder Emails bis zu Advanced Persistent Threats bei denen sie große Teile der Firmen-IT unterwandern und kontrollieren. Solche Angreifer sind für Firmen extrem gefährlich, da sie ganz gezielt vorgehen und bei dem einen Unternehmen so lange neue Tricks versuchen (Anrufe beim Helpdesk, Emails mit vorgeblichen Gewinnspielen, infizierte USB-Sticks auf dem Parkplatz, Ausspähen durch fingierte Bewerbungsgespräche, Bestechung, gezielter Diebstahl von Firmen-Laptops oder Smartphones, etc.) bis sie eine schwache Stelle in genau diesen Unternehmen gefunden haben. Um sich dagegen zu schützen müssen Firmen eine sehr breit gefächerte Schutzpalette implementieren.
Hacktivisten
Das sind politisch motivierte Angreifer, z.B. die Gruppe "anonymous" die jetzt gegen alle vorgeht, die gegen Wikileaks aktiv werden, die Gruppe 4chan (siehe Time 100 Precision Hack), der oder die Angreifer die Estland lahm gelegt haben. Es geht ihnen nicht um Geld, sondern um die Sache, oft ein politisches Anliegen. Dies wird manchmal verglichen mit politisch motivierten Gesetzesübertretungen. Sie wird dann Denial of Service (DoS) mit einem Sitzstreik verglichen und das Verändern einer Website (defacement) mit einem Angriff per Spaydose. Sie nutzen dafür aber auch manchmal Methoden der Industriespionage um z.B. an Emails der "Gegner" zu kommen. Die bekanntesten Hacktivisten sind derzeit (2011) Anonymous. Hier ein Artikel über diese lose Gruppierung mit vielen Beispielen ihrer Aktivitäten: Crude, Inconsistent Threat: Understanding Anonymous. Oft überschneidet sich Hacktivismus mit "doing it for the LULZ", d.h. um Spaß zu haben. Ethisch bedenklich wird es, wenn Unbeteiligte zu Schaden kommen, z.B. durch die Veröffentlichung ihrer Passworte. Hier ein Beispiel aus 2012: Aufruf zum "Cyber-Dschihad".
Cyber-Krieger - Cyber War
Der Begriff Cyber-War wird derzeit ziemlich inflationär verbreitet, oft auch in der Form Cyber-Terror. IT-basierte Angriffe zur Unterstützung von konventioneller Kriegsführung sind nichts Neues und fallen in diese Klasse, aber auch natürlich auch der Stuxnet-Angriff auf die Kernenergie-Anlagen im Iran. Hierbei geht es darum, dass (in der Regel) Staaten andere Staaten zumindest kurzzeitig schwächen wollen indem sie Teile seiner Infrastruktur lahm legen. Das kann über simple Denial of Service-Angriffe (DoS) geschehen oder komplexe Operationen die eine Unterwanderung der IT-Infrastruktur ähnlich zur Industriespionage erfordern.
Aktualisierung Okt. 2011:
Zu diesem Thema gibt es einen recht guten Artikel in Business Week: Cyber Weapons: The New Arms Race. Er gibt einen ausführlichen Überblick über die neu entstehende Cyberwar-Industrie und was für ein gutes Geschäft das ganze ist.
Weitere Aktualisierung Dez. 2011:
Thomas Rid veröffentlichte im Journal of Strategic Studies einen sehr lesenswerten Artikel Cyber War Will Not Take Place. Er geht von der Definition von Krieg bei Clausewitz aus und zeigt, dass keiner der bisherigen Ereignisse die so oft unter diesem Begriff subsummiert werden, diese Kriterien erfüllt. Ein Krieg ist immer politisch und will ein Ziel erreichen, das auch dem Angegriffenen vermittelt wird. Anonyme Angriffe (d.h. Angriffe die nicht klar zuordenbar sind) sind daher kein Krieg in diesen Sinne, sondern können Spionage, Sabotage oder Terrorismus sein. Ein weiteres Kriterium das die bisherigen Angriffe nicht erfüllen ist, dass es bei einem Krieg immer 2 aktive Parteien geben muss, ansonsten ist es Sabotage oder Terrorismus. Der Artikel ist sehr ausführlich und bringt viele gute Argumente und weitere Links.
Rogue Hacker, Malware-Schreiber, Bot-Herder
Jetzt kommen wir zu den "Intellektuellen" unter den Angreifern, die oft aus intellektueller Neugier beginnen und dann langsam in die Kriminalität abrutschen ("von irgendwas muss man ja leben"). Hier gibt es Beispiele: Albert Gonzales und Allmachtsfantasien eines Programmierers. Wenn so jemand technisch gut ist, aber von etwas leben muss, so verdingt er sich oft an die Organisationen der Cyber-Kriminellen (siehe oben) und entwickelt für sie Banken-Trojaner oder an Spammer und Adware-Verteiler. Oder sie entwickeln und betreiben Trojaner-Software mit deren Hilfe sie infizierte PC zu Botnetzen zusammenfassen können und verdingen sich dann als Botnet-Herder, d.h. sie verleasen die Netze an Kriminelle oder führen in deren Auftrag Denial-of-Service-Angriffe durch.
2012: Hier jetzt eine detaillierte Blosstellung der Koobface Malware Gang. Die Informationen stammen von zwei deutschen Sicherheitsforschern, die die Namen im Zeitraum von 2009 bis 2010 ermittelt hatten. Einer der Forscher arbeitet für den Antivirenhersteller Sophos, von dem der hier verlinkte Bericht ist, der viele Fotos aus dem Hackerleben zeigt. An Geld scheint es nicht gemangelt zu haben. In dem verlinkten Bericht wird aber auch sehr detailliert die Arbeitsteilung im Hacker-Untergrund dargestellt.
Viele weitere Details zu diesen Themen finden sich auf Sicherheitsprobleme im Internet.
Philipp Schaumann, http://sicherheitskultur.at/
Home