Themen
Dienste
  Cybercrime    Ermittlungen    TK & Internet  Schriften   Literatur 
  Suche   Gästebuch   Newsletter   intern   Impressum 
Februar 2012
10.03.2012 Security
zurück zum Verweis zur nächsten Überschrift Berichte und Studien zu einzelnen Sicherheitsaspekten



 

25.02.2012 
 Unlängst ist von McAfee der beachtliche Bericht über die Bedrohungen 2012 erschienen (1), den ich erst im zweiten Anlauf angemessen würdigen konnte (2). Jetzt habe ich einige weitere Berichte und Studien aus jüngerer Zeit entdeckt, die das Interesse verdienen. Sie behandeln einzelne Aspekte der IT-Sicherheit und sind deshalb wichtig, weil sie auf die konkreten Erscheinungsformen der Bedrohungen für dem IT-Betrieb eingehen.
 

 
Datenbanken
Netzwerkperipherie
Bewertung von Schwachstellen
Abwehr von Denial-of-Service-Angriffen
mobile Geräte
Sicherheit von Captchas
Fazit
 

Auch der Bedrohungsbericht für das vierte Quartal 2011 ist inzwischen erschienen (2a). Zuletzt habe ich über den Bericht zum dritten Quartal 2011 berichtet (3). Dort wird auch auf den Schutz mobiler Geräte (4) und die Tarnung der modernen Crimeware eingegangen (5). Diese beiden Berichte aus 2011 läuten sozusagen die Serie ein, die jetzt mit einer einzigen Ausnahme in deutscher Sprache erschienen ist.
 
McAfee hat eine mir unverständliche Veröffentlichungspolitik. Für die von mir behandelten Berichte und Studien wird keine Werbung betrieben und deshalb finden sie in den Meldungsdiensten auch keine Resonanz. Das ist unverdient. Sie sind auch Werbung und ohne sie ließe sich ihre Herstellung steuerlich nicht rechtfertigen. Im Vordergrund stehen aber immer tiefe fachliche Auseinandersetzungen mit der IT-Sicherheit und ihren einzelnen Aspekten.

Auch unter einem anderen Gesichtspunkt behandelt McAfee seine Studien stiefmütterlich. Ganz wichtige ältere Werke wie die Länderstudien (6) und jene über die Internetkriminalität (7) sind nicht mehr verfügbar. Das ist schade.

zum nächsten Kapitel


(1) , Bedrohungsprognosen für 2012, McAfee 20.12.2011

(2) : Bedrohungen 2012, 15.01.2012;
Bedrohungen 2012, 28.01.2012.

(2a) Bedrohungen im 4. Quartal 2011, 03.03.2012;
Threat-Report: Viertes Quartal 2011, McAfee 09.02.2012.

(3) : Bedrohungen im dritten Quartal, 18.12.2011;
Threat-Report: Drittes Quartal 2011, McAfee 18.11.2011
Threat-Report: Zweites Quartal 2011, McAfee 16.08.2011
Threat-Report: Erstes Quartal 2011, McAfee 19.05.2011

(4) Igor Muttik, Schutz mobiler Geräte: Gegenwart und Zukunft, McAfee 18.11.2011

(5) Dave Marcus, Thom Sawicki, Die neue Stealth-Crimeware, Mc Afee 20.09.2011

(6) globale Sicherheitsbedrohungen, 27.07.2008

(7) Zweite große europäische Studie über das Organisierte Verbrechen und das Internet, 27.07.2008
 

zurück zum Verweis Datenbanken

 

25.02.2012 
 Wegen des Schutzes von Datenbanken (8) stellt das Unternehmen vor allem seine Produkte vor. Dieser "Technology Blueprint" fußt auf einem Vorläufer aus 2011 (9).

 Datenbanken sind nicht einfach nur Datensammlungen, sondern strukturierte Umgebungen zur Verwaltung von streng definierten Daten und freien Formaten. Eine Datenbank nach klassischer Vorstellung besteht aus Datensätzen, Tabellen und Verarbeitungsinstrumenten. Ein Datensatz besteht aus Feldern, denen genau bestimmte Dateninhalte zugewiesen sind: <Name>, <Vorname>, <Straße>, <Hausnummer>, <Postleitzahl>, <Ort> ... Den Feldern können Formate wie "Text", "Zahl" und andere, Größen, Werte ("Null") und Variablen zugewiesen werden.

Die Tabellen fassen die Datensätze zusammen und sind in aller Regel einzelne Dateien, die nach Maßgabe des Datenbankprogramms formatiert sind. Es stellt Masken und Schnittstellen zur Dateneingabe zur Verfügung und Instrumente, um einzelne Datensätze zu selektieren oder verschiedene Datensätze zu gruppieren (sortierte Listen, Verknüpfungen zwischen Tabellen, Berechnungen und andere logische Funktionen). Die führende Datenbanksprache ist SQL (10) und in der Praxis ist sie verbunden mit zwei Namen: Oracle und MySQL.

 SQL-basierte Datenbanken sind aus der Wirtschaft und der Verwaltung nicht mehr wegzudenken. Mit ihnen werden Bankkonten und Strafregister verwaltet, Redaktionssysteme, Webshops und sogar kleinere Webauftritte und CMS (11) mit PHP betrieben (12).

 Wenn es um die Sicherheit von Datenbanken geht, dann kommen mehrere Aspekte zum Tragen: Die Datenverwaltung als solche muss funktionieren, Abfragen und schreibende Zugriffe müssen zumindest überwacht werden (Revisionssicherheit), die Dateneingaben müssen womöglich auf ihre Plausibilität überprüft werden, und die Daten müssen verfügbar sein, auch wenn gleichzeitig Monatsauswertungen, andere leistungsschluckende Prozesse, Datensicherungen (Backup) oder Updates laufen. Das sind erst noch die Anforderungen, die der übliche Betrieb erfordert.

Viele Datenbanken werden in gekapselten Umgebungen betrieben, noch mehr aber mit Schnittstellen, die sie mit dem Internet oder anderen Netzen verbinden. Das gilt für Webshops, das Homebanking und andere gewerbliche Dienste, die per Internet verfügbar sind. Sie müssen zudem gegen Hacker, leichtfertige Schutzlücken und automatische Angriffe (DDoS, SQL-Injection, Buffer Overflow) geschützt werden.

 Ungeachtet des Werbewirbels, den McAfee beim Schutz von Datenbanken veranstaltet, sind es diese vielgestaltigen Anforderungen, die der "Blueprint" anspricht und damit ihre zusammenhängende Bedeutung hervorhebt. Dagegen ist nichts zu sagen.

zum nächsten Kapitel


(8) , Schutz von Datenbanken, McAfee 06.02.2012

(9) , Absicherung von Datenbanken, McAfee 18.07.2011

(10) SQL (Structured Query Language)

(11) Content-Management-System - CMS

(12) PHP: Hypertext Preprocessor
 

zurück zum Verweis Netzwerkperipherie
 

25.02.2012 
  Die Außengrenze des Netzwerks stellt das Gesicht Ihres Unternehmens dar. Der Datenverkehr, den Sie durch Ihre Grenze passieren lassen, kann nützlich oder böswillig sein und hat direkte Auswirkungen auf den Erfolg oder mögliche Schäden für Ihr Unternehmen. Die Schwierigkeit besteht darin, die Effektivität des Netzwerks sowie die Kontrolle zu verbessern und parallel dazu die Schwachstellen zu schließen.

Im zentralen Blickpunkt des Schutzes der Netzwerkperipherie (13) stehen die Firewalls, die am Knotenpunkt zu einem anderen Netz installiert sind, und die entmilitarisierten Zonen (14), die dem lokalen Netz (15) vorgeschaltet sind.

Das lokale Netz kann aus einem einzelnen PC bestehen, der - mit welcher Zugangstechnik auch immer - an ein Verbindungsnetz angeschlossen ist, einem kleinen Hausnetz, bei dem an einen Router mehrere Endgeräte angeschlossen sind, einem Funknetz (16), einem Netz mit allen Rechnern in einem Firmengebäude oder sogar eines räumlich ausgedehnten Konzerns. Es steht unter der Hoheit eines verantwortlichen Betreibers, der die Rechte aller Beteiligten und der Außenkontakte steuert. Es ist ein Endnutzer im Sinne von § 3 Nr. 8 TKG, der in aller Regel keine öffentlichen Netze oder Dienste betreibt.

Die Schnittstelle zu einem anderen Netz ist der Gateway und damit erstmal nichts anderes als ein Übergangspunkt, an dem Daten aufgenommen und verteilt werden (Routing). Der Gateway zu einem LAN führt in aller Regel bestimmte Sicherheitsprüfungen durch, indem er kritische Datenzugriffe unterbindet (17). Eine Firewall leistet mehr. Sie durchleuchtet die Datenpakete im einzelnen und prüft ihre Gefährlichkeit.

So sinnvoll das sein mag: Wie tief geht die Überwachung? Das Stichwort lautet "Deep Data Protection". Der Iran ist jüngst damit bekannt geworden, dass er an seinen (nationalen) Netzgrenzen den Datenverkehr überwacht und blockt (18). Prinzipiell kann die Datenstromüberwachung auch die Inhalte umfassen (19).

Unter dem Blickwinkel der Netzwerksicherheit ist eine Ende-zu-Ende- oder jede Verschlüsselung, die durch das Gateway durchgelassen wird, ein Graus. Vor Allem Virenscanner bleiben wirkungslos, weil sie die Heuristik der durchgehenden, besonders der von außen kommenden Dateien nicht überprüfen und notfalls blocken können. Deshalb setzt auch McAfee auf eine Entschlüsselung am Gateway, die Durchleuchtung der Datenpakete und ihre Weiterleitung mit neuer Verschlüsselung.

Mit anderen Worten: Das ist ein Man-in-the-Middle, der natürlich auch allen anderen Unfug mit den durchgehenden Daten machen kann. Er kann sie nicht nur auf Schadfunktionen untersuchen, sondern auch auf Inhalte und schließlich auch manipulieren.

Waren es früher ungenehmigte Modems, die unbedacht betrieben wurden, oder Fernwartungs-Accounts, die von Hackern als Nebeneingang zum fremden LAN genutzt wurden (20), sind das jetzt auch Telefonanlagen, Funknetze und schließlich auch der Nahfunk per Bluetooth, RFID und andere kabellose Techniken, die als Schnittstellen zur Peripherie des schutzwürdigen Netzes dienen. WLAN und Bluetooth können auch die modernen Mobiltelefone. Die Klassiker der Schnittstellenzugänge sind CDs, DVDs und USB-Sticks (und andere Speicherkarten). Sie alle sind Peripherie und Gateways ins lokale Netz, was die Sicherheitsmaßnahmen nicht einfacher macht.

Die von McAfee beschriebene und beworbene Technik beschränkt sich auf den Datenverkehr am Gateway und zeigt auch die Grenzen auf, die die gesetzlichen Vorgaben zum Datenschutz setzen. Die Broschüre beschränkt sich auf einen (definierten) Teil der Bedrohungen und setzt sich mit ihm recht tief auseinander. Das ist vernünftig.

zum nächsten Kapitel


(13) , Schutz der Netzwerkperipherie, McAfee 03.02.2012

(14) Demilitarisierte Zone - DMZ, 2007

(15) Local Area Network - LAN

(16) Wireless Local Area Network - WLAN

(17) Das sind vor allem die Ports. Sie bestimmen im Rahmen des Internet-Protokolls ( TCP-IP) die zugelassenen Protokolle für die wechselseitige Netzkommunikation. Dadurch, dass der Gateway nur ausgewählte Protokolle für die Kommunikation zulässt, werden kritische (Fernwartung) oder frei definierte unterdrückt. Das schafft aber nur eine bedingte Sicherheit, weil zum Beispiel alle üblichen Internetverbindungen das HTTP ( Hypertext Transfer Protocol) verwenden und damit alle üblichen Schadprogramme untergeschoben werden können.

(18) Berichte: Iran kappt sichere Internet-Verbindungen, Heise online 18.02.2012

(19) Wolfgang Stieler, Mein Job beim Big Brother, Technology Review 29.03.2010

(20) Einen interessanten Anwendungsfall für das Phishing habe ich vor einem halben Jahr erfahren: Es geht um Abrechnungssysteme in Hotel-Konzernen und -Verbünden, bei denen die Netzkommunikation untereinander unüberwacht und ungehindert abgewickelt wird. Man gehört ja demselben Verbund an und vertraut einander. Hacker oder ungetreue Mitarbeiter am Standort A müssen gar nicht hier auf Datensuche gehen, sondern tunneln sich zum Standort B und saugen dort zum Beispiel die Kartendaten der Kunden aus der Abrechnungsdatenbank ab. Und wenn die PINs eigentlich gar nicht gespeichert werden, so kann man doch - man gehört ja zum vertrauenswürdigen Verbund - einfach einen Keylogger installieren.
 

zurück zum Verweis Bewertung von Schwachstellen
 
 

05.03.2012 
 McAfee's Betrachtung von Schwachstellen enttäuscht etwas (21). Im Vordergrund stehen hier die Schwachstellen in den Softwareprodukten selber, wie sie unlängst vom BSI bewertet wurden (22), ihr Zusammenspiel - immerhin - und das Ressourcenmanagement. Das vorgestellte Konzept geht über die klassische Server- und Netzwerküberwachung hinaus, überwacht auch die technischen Ressourcen und warnt vor Engpässen. Die Leistung darin besteht in der Kombination der gleichzeitigen Überwachung verschiedener Plattformen, Programme und Prozesse. Die Datensicherheit obliegt dem konzeptionellem Einsatz von Datenbanken und dem Schutz der Netzwerkperipherie und das hatten wir schon.

Die Bewertung von Schwachstellen geht nach meinem Verständnis noch weiter. Dazu gehört zunächst auch eine strukturelle Analyse der Unternehmensorganisation, die Bewertung kritischer und weniger kritischer Produktions- und Entscheidungsprozesse sowie die Bewertung von Informationen (Geschäfts- und Betriebsgeheimnisse, Schutzrechte, Interna). Darauf baut ein organisatorisches und technisches Konzept über den Schutz des Unternehmens als Ganzes auf, wozu auch die Fragen nach der technischen und der Netz-Infrastruktur gehören, aber auch ein Risikomangement in Bezug auf das Auskunftsverhalten am Telefon, beim Kundenkontakt per E-Mail und schlichten Zugangsrechten (verschlossene Türen, Zugangskontrollen, Passwörter, Grenzen der Öffentlichkeitsarbeit). Ich vermute, dass sich die Aspekte des Katastrophen- und Brandschutzes, der allgemeine Betriebsschutz, der vor Korruption und schließlich die IT-Sicherheit auf wenige Aspekte zusammenführen lassen: Sei wachsam und melde Ungewöhnliches!

Diese Vereinfachung funktioniert aber nur, wenn die Meldestelle funktioniert und positive Signale zurück meldet: Danke, dass sie uns informiert haben! Wir kümmern uns!

Ich bin mir sicher, dass McAfee das sehr ähnlich sehen wird. Hier haben wir es aber mit einem werbenden "Blueprint" zu tun und der muss Lösungen anbieten, die man kaufen kann. Für das Ummodeln der unternehmerischen Struktur sind dann die Consultants zuständig, die Wolken auf Flip-Charts malen, Kärtchen auf Tafeln pinnen und die Unternehmensleitung auf den Hubschrauberblick von oben aufs Ganze trimmen.

Das ist gehässig und ich weiß das. Die umfassende Bewertung und Überwachung von Schwachstellen halte ich für besonders wichtig, weil sie auch vor der Scheinsicherheit rein technischer Lösungen warnen muss, so intelligent sie Inseln isolierter Überwachungen auch zusammen führen mag. Von einem sowjetischen (meine ich) Kernkraftwerk ist überliefert, dass die Kontrollleuchte neben einem Schalter einfach nur anzeigte, dass der Schalter umgelegt wurde, und nicht auch, dass die Pumpe, die damit in Betrieb gesetzt werden sollte, tatsächlich in Betrieb ging. Das ist die Scheinsicherheit, die ich meine: Das blinde Vertrauen auf leuchtende Lämpchen ohne Verständnis dafür, was sie tatsächlich bedeuten. Im Zusammenhang mit den Fragen nach der Sicherheit von Organisationen und Prozessen wird es vorerst noch immer auf das intelektuelle Begreifen und Steuern der Prozesse ankommen. Gute Software kann das unterstützen, aber nicht ersetzen.


(21) , Bewertung von Schwachstellen, McAfee 18.01.2012

(22) Schwachstellenampel vom BSI, 03.03.2012
 

zurück zum Verweis Abwehr von Denial-of-Service-Angriffen
 
 

05.03.2012 
  Ein Unternehmen wird zum Ziel eines Denial-of-Service-Angriffs. Hunderte oder
sogar Tausende Hosts werden von böswilligen Programmierern dazu missbraucht,
gegen ein einzelnes Ziel loszuschlagen. Der Dienst des Unternehmens ist für seine
Kunden nicht erreichbar. (23)

Beim Abschalten der Verfügbarkeit geht es eigentlich zu wie im Schulkindergarten und betrifft die Macht des Wortes. Das renitente Kind fragt immer nur "Warum?" und der beflissene Pädagoge kommt gar nicht mehr hinterher, in seiner Reihung von Argumenten die immer feineren Aspekte herauszuarbeiten und zu erläutern. Darauf kommt es dem Kind aber nicht an. Beim DoS ruft der Angreifer einfach nur immer wieder "Hallo!" und erwartet keine ernsthafte Antwort. Der angerufene Webserver ist aber dienstbeflissen und will ein ernsthaftes Gespräch eröffnen: "Ich freue mich, dass du mich anrufst! Lass uns die Hände schütteln und darüber sprechen, wie wir uns am besten verständigen können! - <Pause für die Antwort>" Ihm geht es um den Handshake, die Vereinbarung eines gemeinsamen Protokolls und um die vernünftige Verständigung. Als Antwort bekommt er aber nur ein tumbes "Hallo!". Genervte Lehrer würden irgendwann einfach nur abschalten, auflegen und Unflat äußern. Das können Webserver aber nicht. Sie bleiben immer dienstbeflissen: "Ich freue mich, dass du mich anrufst! Lass uns die Hände schütteln und darüber sprechen, wie wir uns am besten verständigen können! - <Pause für die Antwort>"

Beim verteilten DoS ruft nicht nur ein renitentes Gör "Hallo!", sondern Hunderte, Tausende oder mehr und der dienstbeflissene Webserver kann die vielen Stimmen und Fragen nicht mehr verarbeiten. Er ist überlastet und schaltet ab.

Am häufigsten sind heutzutage Angriffe von Botnets, die aus Tausenden – oder in einigen Fällen Millionen – Hosts bestehen. Diese Botnets können gemietet werden und stehen Einzelpersonen oder Gruppen zur Verfügung, die die Dienste Ihres Unternehmens unterbrechen wollen.

Beim einfachen DoS kann man die Ausgangsadresse der Anfragen sperren, so dass der Webserver nur noch die ernsthaften Kontakte wahrnimmt und bearbeiten muss. Gegen verteilte Angriffe aus Botnetzen hilft das nichts. Die Ausgangsadressen sind vielzahlig und könnten auch ernsthafte Interessenten betreffen. Hier hilft nur eine andere Strategie: Auf das "Hallo!" müssen andere Webserver reagieren und nur die Anfragen durchlassen, die ein ernsthaftes Händeschütteln wollen.

McAfee schlägt genau eine solche Zwischenschicht mit Wächter-Servern vor. Sie überprüfen die eingehenden Anfragen, sperren tumbe Anfragen und lassen nur die durch, die ernst gemeint scheinen. Auch dabei können noch tumbe sein, aber eben nur wenige, die das produktive System verkraften kann. Außerdem meldet es die tumben Anfragen an seine Türsteher, die deshalb immer effizienter rufen können: "Du kummst hier net nei!"

Dagegen wehren sich gerissene Angreifer mit Anfragen, die tatsächlich zunächst ernsthaft auf den Handshake eingehen und erst im automatisierten Kommunikationsprozess mit Unsinn agieren. Das macht eine tiefere Prüfung durch die Türsteher nötig, die dann den Handshake selber abwickeln und erst die ernsthafte Anfrage zu dem produktiven Web- oder Datenbankserver durchlassen. Mit dieser Strategie schützen Botnetze schon seit Jahren ihre zentralen Command & Control-Server - C & C - und die Türsteher heißen dort Flux-Server.

Man mag mir die Beschreibung nach Art der "Sendung mit der Maus" nachsehen. Deren Macher können komplexe Probleme sehr gut beschreiben und ihre Methode ist auch diesem Thema angemessen. 


(23) , Abwehr von Denial-of-Service-Angriffen, McAfee 18.01.2012
 

zurück zum Verweis mobile Geräte

10.03.2012 
 Über die Sicherheit und Schwachstellen mobiler Geräte hat Muttik bereits 2011 ausführlich berichtet (24). Diebstahl und Verlust sind nur ein Aspekt, der betrachtet werden muss. Sie verlangen zur Schadenbegrenzung nach durchdachten Zugangsregeln und Datensicherung. Mobile Geräte sind aber immer häufiger auch Schnittstellen zur IT im Unternehmen und können von Angreifern als Einstieg in das Firmennetz missbraucht werden. Die steigende Zahl der Malware für mobile Geräte, von Phishing-Attacken und Missbräuchen (selbsttätige Anwahl teurer Nummern, Ausspähen von Geodaten und Inhalten) sprechen ein beredtes Bild.

Der Angriff gegen mobile Geräte muss nicht zwingend über das mobile Funknetz oder eine Nahfunk-Schnittstelle erfolgen. Bei dem groß angelegte Angriff von 2009 - Night Dragon (25) - drangen die wahrscheinlich aus China stammenden Hacker zunächst über die Netzwerkperipherie in die Firmennetze von Öl-, Energie- und petrochemische Unternehmen ein. Dort verschafften sie sich Zugang zur Verwaltung der Zugriffsrechte (wahrscheinlich zum Active Directory), konnten dann von innen heraus durch die nach außen abgesicherten Verbindungen (VPN-Tunnel) auf die Laptops leitender Mitarbeiter gelangen und dort unternehmenswichtige Daten stehlen.

Mobile Geräte wie Smartphones und Tablets sind inzwischen vollwertige Computer mit hoher Leistungsfähigkeit. Wenn mit ihnen auf interne Daten, Terminkalender, Adressen und andere zugegriffen werden darf, dann müssen sie auch in das Sicherheitskonzept des Unternehmens eingebunden werden (26).

McAfee behandelt deshalb die mobilen Geräte wie die andere Netzwerkperipherie auch (27). Man lässt sie nicht unmittelbar mit den Mail-Servern, Datenbanken und anderen Komponenten im Unternehmen kommunizieren, sondern gewährt ihnen zunächst nur den Zugang zu einer demilitarisierten Zone - DMZ. Hier werden die eingehenden Daten auf Malware und andere Auffälligkeiten untersucht und nur kontrolliert an das innere Netzwerk weiter gegeben. Umgekehrt werden auch die ausgehenden Daten überwacht und besonders darauf geachtet, ob die vorgegebenen Zugriffsrecht bewahrt werden. Das Untermehmen fasst zusammen <S. 6>:

• Absicherung privat genutzter Geräte im Unternehmensnetzwerk
• Schutz vor Datenverlust und Malware-Infektion
• Automatische Durchsetzung von Richtlinien-Compliance unabhängig vom Besitzer des Geräts
• Sperrung und -löschung abhanden gekommener Geräte aus der Ferne, wodurch sich das Risiko von Datenverlust verringert
• Gewährleistung, dass alle zwischen Mobilgeräten und Servern übertragenen Daten verschlüsselt sind


(24) Igor Muttik, Schutz mobiler Geräte: Gegenwart und Zukunft, McAfee 18.11.2011.
Siehe auch: Gabriel Acevedo, Michael Price, Die Hintergründe des Apple iPad-Hacks auf der FOCUS 11, 02.03.2012

(25) Night Dragon, 13.02.2011

(26) Siehe jetzt auch: Gabriel Acevedo, Michael Price, Die Hintergründe des Apple iPad-Hacks auf der FOCUS 11, 02.03.2012

(27) , Umsetzung des Schutzes für Smartphones und Tablets. Schutz des Unternehmens beim Zugriff privater Geräte auf das Netzwerk, McAfee 16.01.2012
  

zurück zum Verweis Sicherheit von Captchas
 
 

10.03.2012 
 Außerhalb der Reihe und nur in englischer Sprache verfügbar ist die Studie von Gursev Singh Kalra über die Angriffe gegen Captchas erschienen (28). Dabei handelt es sich um Grafiken, die Ziffern und andere Zeichen in gebrochener und gewandelter Form zeigen. Sie sind für das menschliche Auge erkennbar, nicht aber maschinenlesbar, glaubte man bislang.

Kalra untersuchte mit einer selbst gebauten OCR-Engine (Schrifterkennung) rund 200 frequentierte Webseiten, die ihre Zugänge mit Captchas sichern (29). Die Software hat er darauf optimiert, das Hintergrundrauschen der Bilder zu entfernen. Diese automatische Erkennung funktionierte bei der Wikipedia in 20 bis 30 % der Fälle und bei mehreren anderen Webseiten fast immer.
 
Captchas sollen vor allem gegen automatische Scans schützen, mit denen Angreifer Webanwendungen auf Schwachstellen untersuchen.
Webseite Genauigkeit Anzahl
wikipedia 20-30% 7
ebay 20-30% 11
reddit.com 20-30% 68
CNBC 50 +% 121
foodnetwork.com 80-90% 160
dailymail.co.uk 30 +% 245
megaupload.com 80 +% 1.000
pastebin.com 70-80% 32.534
cavenue.com 80 +% 149.645

Der Gedanke dabei ist, dass tatsächlich nur ein Mensch die Zeichnenfolge entziffern und korrekt eingeben kann.
 

Zu unterscheiden ist zunächst zwischen statischen und dynamischen Captchas. Statische Captchas werden aus einem überschaubaren Bestand von Prüfziffern gewonnen und in wechselnder Reihenfolge verwendet. Singh Kalra berichtet davon, dass es bei vielen Webseiten gelungen sei, Captchas in großer Anzahl herunterzuladen und mit der optischen Zeichererkennung (OCR) zu entziffern. Diese Erkenntnisse wurden in eine Rainbow-Tabelle eingegeben, mit deren Einträgen jedenfalls in Webseiten mit statischen Captchas schnell und automatisch eingedrungen werden konnte, weil von der angreifenden Automatik nur die Prüfziffern (Hashwerte) der Grafiken geprüft werden musste <S. 7>.

Schwieriger ist das bei dynamischen Captchas. Hierbei wird von der Webanwendung immer eine eindeutige Session-ID erstellt, sozusagen eine eindeutige Vorgangsnummer für den einzelnen Zugang, die die Grundlage für die angezeigten Captchas bilden. Auch sie lassen sich unter dem Einsatz verschiedener OCR-Verfahren automatisch erkennen, wie das Schaubild links verdeutlicht.


(28) Gursev Singh Kalra, Attacking CAPTCHAs for Fun and Profit, 24.01.2012

(29) Gursev Kalra, Open Security Research: CAPTCHA Hax with TesserCap, blog.opensecurityresearch.com 15.11.2011
  

zurück zum Verweis Fazit
 

10.03.2012 
 Die meisten der hier vorgestellten Berichte und Studien sind "Blueprints", also Werbeschriften nach dem Schema: Das und das ist das Problem und wir haben diese Lösung, die Sie kaufen können. Das ändert nichts daran, dass die angesprochenen Probleme nicht herbeigeredet sind, sondern real bestehen.

Die Lösungen sind vom Prinzip her nicht neu. Ihr wesentlicher Bestandteil ist eine DMZ die sowohl zum offenen Netz hin eine Firewall hat und eine weitere zum Schutz des sensiblen IT-Innenlebens der Organisation (30) ( Netzwerkperipherie). Die dabei angewendeten Techniken zur Durchleuchtung von Daten und Abwehr von Angriffen sind immer mehr verfeinert worden. Auch die produktiven Webserver, die zur Werbung und zum Verkauf zwingend von außen erreichbar sein müssen, gehören in den geschützten Bereich einer DMZ. Für sie stellt sich nicht nur das Problem der Sicherheit, sondern vor allem der Verfügbarkeit und dazu gehört nicht nur die Erreichbarkeit, sondern auch die Performance, also die zügige Datenverarbeitung ( Datenbanken). Das kann man dadurch erreichen, dass dem produktiven Server mehrere "Türsteher" vorangestellt werden, die nicht nur dazu da sind, verteilte Angriffe abzupolstern ( Abwehr von Denial-of-Service-Angriffen), sondern auch die Datenverarbeitungsvorgänge vorbereiten und erleichtern können.

Entstanden sind dadurch sieben kleine Beiträge, die zueinander nur in lockerer Verbindung stehen, aber insgesamt die wesentlichen aktuellen Fragen nach der technischen Sicherheit der IT abdecken. Die von McAfee angebotenen Lösungen richten sich vor allem an große Organisationen und Unternehmen. Dagegen sind die angesprochenen Probleme allgemeiner Art.

Für die privaten Anwender werden immer häufiger einfache Lösungen propagiert, die keine Hochsicherheit garantieren, aber die meisten Gefahren abwehren können. Gute Beispiele dafür liefert das Bundesamt für Sicherheit in der Informationstechnik - BSI, das sich nicht mehr nur dem Grundschutz großer Systeme widmet (31), sondern auch analytische Instrumenten zum Erkennen aktueller Gefährdungen (32) sowie eine Schwachstellenampel zur Bewertung aktueller Betriebssysteme und Anwenderprogramme anbietet (33) und schließlich praktikable Sicherheitstipps gibt (34): Antiviren-Software – durchaus auch kostenlose –, Backups, Sicherheitsaktualisierungen, ein alternativer Browser wie Googles Chrome und "stets ein gesundes Misstrauen" sind die Eckpunkte des Konzepts.

Das Bewusstsein, etwas zum Schutz seines PCs machen zu müssen, nicht jedem verheißungsvollem Link zu folgen und sparsam mit Zugangscodes, PIN und persönlichen Daten umzugehen, hat sich bereits breiter durchgesetzt. Dieses Bewusstsein fehlt noch vielfach im Zusammenhang mit bequemen Funk-Schnittstellen (Bluetooth, RFID) und im Umgang mit mobilen Endgeräten ( mobile Geräte) und in sozialen Netzen. Deren Nutzer werden immer jünger und deshalb leichte Opfer böswilliger Angriffe. Insoweit sind Eltern und Lehrer gefordert (35).


(30) Siehe auch: jedem Hacker sein eigener Honigtopf, 03.03.2012

(31) BSI, IT-Grundschutz-Kataloge, 12. Erg.lieferung, September 2011 (51 MB).
Onlineversion: BSI, IT-Grundschutz-Kataloge.

(32) aktuelle Gefährdungen, 28.01.2012;
BSI, Register aktueller Cyber-Gefährdungen und -Angriffsformen, 16.01.2012.

(33) Schwachstellenampel vom BSI, 03.03.2012;
Schwachstellenampel vom BSI.

(34) BSI gibt Sicherheits-Tipps für den PC, 04.02.2012

(35) Hilfreiches und gutes Projekt: CyberLicence - Der Medienführerschein.
  

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 22.03.2012