Themen
Dienste
  Cybercrime    Ermittlungen    TK & Internet  Schriften   Literatur 
  Suche   Gästebuch   Newsletter   intern   Impressum 
März 2012
03.03.2012 duale Welt
zurück zum Verweis zur nächsten Überschrift Schwachstellen, Bedrohungen und Honigtöpfe
  Das BSI zeigt Ampellichter und McAfee die letzten Bedrohungen aus 2011
 

 

 

  Zunächst ein paar kurze Meldungen.

Internetgeschäfte per Button
03.03.2012 
  Künftige Internetgeschäfte per Button-Klick sind nach einem Beschluss des Bundestages vom 02.03.2012 nur wirksam,  wenn diese Schaltfläche gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet ist.

So steht es künftig in dem § 312g des BGB. Darüber hinaus müssen auch Preis, Mindestlaufzeiten und Lieferkosten ... angezeigt werden. Diese kleinen Änderungen könnten tatsächlich einige Abzock-Tricks aus der Welt schaffen.
 

Internetgeschäfte per Button
Kreuzzügler und andere Administratoren
Dateiendungen
Der Feind im Handy
ungeschützte Systeme
Bitcoins gestohlen
 
Schwachstellenampel vom BSI
 
Bedrohungen im 4. Quartal 2011 (McAfee)
 
jedem Hacker sein eigener Honigtopf
 
Netzkontrolle gegen Cyberangriffe
 

Bundestag beschließt mehr Schutz vor Internet-Kostenfallen, Heise online 02.03.2012
Gesetzentwurf der Bundesregierung ... eines Gesetzes zur Änderung des Bürgerlichen Gesetzbuchs zum besseren Schutz der Verbraucherinnen und Verbraucher vor Kostenfallen im elektronischen Geschäftsverkehr, BT-Drs. 17/7745 vom 17.11.2011


Kreuzzügler und andere Administratoren
03.03.2012 
 Über die schlimmsten Besserwisser und Unsicherheitsquellen berichtet:

Christiane Pütter, Von Kreuzzüglern und Spionen. Die fünf schlimmsten Admin-Typen, Computerwoche 03.03.2012


Dateiendungen
03.03.2012 
 Die Webseite endungen.de beschreibt etwa 10.000 Dateiendungen und stellt die betreffenden Programme und Formate vor.
Wer mehr wissen will, schaut hier:

Panagiotis Kolokythas, Von $$$ bis zix. Die wichtigsten Datei-Endungen im Überblick, Computerwoche 02.03.2012


Der Feind im Handy
03.03.2012 
 Gefälschte Webseiten können auch unter freier Natur auftreten. Zum Beispiel in Form von Werbeplakaten für karikative Organisationen mit einem gefälschten NFC-Tag. Dabei handelt es sich um kleine Nahfunk-Sender (Near Field Communication - NFC), die das Smartphone zur Spendenseite im Internet leiten. Der manipulierte NFC-Tag leitet es aber (per C & C-Server) zu einer Seite, die Malware bereit hält oder die Spende umleitet (oder beides).

Uli Ries, Phishing per NFC, Heise online 02.03.2012

Bei der Malware könnte es sich dann um ein Remote Access Tool - RAT - handeln.
Einmal installiert, schneidet der Trojaner Telefonate mit, aktiviert die Kamera des Smartphones, liest die gewählten Nummern sowie die gespeicherten SMS aus und übermittelt die aktuelle Position an den C&C-Server. Die Position wird bequem in Google Maps angezeigt und per Klick auf das Symbol des infizierten Geräts können die erwähnten Daten ausgelesen und übertragen werden. Das zeigten jetzt George Kurtz und Dmitri Alperovitch auf der RSA Conference 2012 in San Franzisco.

Uli Ries, Android-Smartphones per Drive-by infiziert, Heise online 02.03.2012


ungeschützte Systeme
03.03.2012 
 Über den ungenügenden Schutz eingebetteter Systeme hat unlängst McAfee berichtet:
Bedrohungen 2012, 28.01.2012.

Auf der RSA Conference 2012 hat Michael Sutton demonstriert, wie man mit einfachen Mitteln Tausende ungeschützte Webserver und industrielle Steuerungsanlagen, vor allem aber Multifunktionsdrucker und Videokonferenzsysteme entdecken und missbrauchen kann.
 Die Drucker speichern Scan-, Fax- und Druckjobs auf Festplatten und geben die oft sensiblen Dokumente dann an jedermann frei. Videokonferenzhardware erlaubt eine Raumüberwachung aus der Ferne oder Lauschangriffe auf stattfindende Besprechungen.

Uli Ries, Studie: Tausende eingebetteter Systeme ungeschützt im Netz, Heise online 01.03.2012

Mit dem Online-Scanner Shodan und einem Perl-Script zu seiner Steuerung fand Sutton binnen kurzer Zeit viele tausend Multifunktionsdrucker (über 3000 Canon-Modelle, 1200 Xerox-Kopierer, 20.000 Geräte von Ricoh und so weiter), 8000 Cisco-iOS-Geräte, die kein Passwort zum Login verlangen und beinahe 10.000 VoIP-Anlagen und -Telefone. Unter Letzteren waren auch 1100 Geräte des Berliner Herstellers Snom. Diese bieten ab Werk Funktionen zum Mitschneiden von Paketen und den PCAP-Trace. In Wireshark importiert, lässt sich Letzterer in eine Sounddatei des Telefonats umwandeln.

Das erinnert mich jedenfalls ein bisschen an Anonymous' Freitags-Hack, 04.02.2012.


Bitcoins gestohlen
04.03.2012 
 Bei einem Einbruch in die Rechner des Cloud-Services Linode sind Bitcoins im Handelswert von rund 150.000 € gestohlen worden. Das ist der zweite nennenswerte Diebstahl im Zusammenhang mit der digitalen Währung.

Bitcoins im Wert von über 150.000 Euro gestohlen, Heise online 03.03.2012
gefährliches Spielgeld, 12.06.2011
Dieter Kochheim, IuK-Strafrecht, 06.01.2012, S. 90 (Bitcoins)
 

zurück zum Verweis Schwachstellenampel vom BSI
 

direkter Vergleich zwischen den Betriebssystemen
von Linux (oben) und Microsoft (unten).
Schwachstellenampel vom BSI

03.03.2012 
 Das Bundesamt für Sicherheit in der Informationstechnik - BSI - hat die verbreitetsten Software-Produkte zwischen dem 01.03.2011 und dem 29.02.2012 untersucht und mit den drei Ampelfarben bewertet ( Schwachstellenampel). Das grüne Ampellicht gibt es nur
wenn für ein Produkt weder "kritische" noch "geringfügig kritische" offene Schwachstellen vorliegen. Das danach entstehende Bild ist ganz erfreulich. Angriffe erfolgen in den meisten Fällen entweder über den Browser (Internetschnittstelle) oder über Anwenderprogramme, mit denen Dateien in besonderen Formaten abgespielt werden können (zum Beispiel der Reader und der FlashPlayer von Adobe). Diese Produkte haben laut BSI deutlich nachgelegt und zeigen "grüne" oder "gelbe" Lichter.

Der Aussagewert wird von in Frage gestellt. Das gelte besonders für die Tabelle nach Hersteller, die allgemeine "Schwachstellen-Vorabmeldungen" aufzählt. Dies sind Schwachstellen, über die nur eingeschränkte Informationen vorliegen und die sich deshalb nicht einem bestimmten Produkt zuordnen lassen. Hier ergibt sich ein ganz anderes Bild: Die Mehrzahl der Hersteller ist rot. Apple hat 24 kritische Schwachstellen gemeldet, Microsoft zehn, Oracle neun. Als unbedenklich gekennzeichnet sind derzeit nur Google und Linux.

BSI will Programmsicherheit per Ampel klassifizieren, Heise online 02.03.2012

Danach sei die Sicherheitsampel jedoch eher ein Alarmsignal über die Informationspolitik der IT-Branche als eine für den Endanwender aussagekräftige Einschätzung über seine persönliche Sicherheit.

Öffentliche Ratingsysteme wie das vom BSI laufen Gefahr, sehr kritisch von den Kritisierten beobachtet zu werden. Unklare Kriterien oder gar Fehler führen unweigerlich zu Rechtsstreiten und Schadensersatzforderungen. Deshalb finde ich es mutig und richtig, dass das BSI auch sagt, dass es bekannte und gleichzeitig kritische Schwachstellen gibt, die zwar einem Unternehmen, nicht aber einzelnen Softwareprodukten zugeordnet werden können. An dieser Stelle sehen Adobe, Apple, Microsoft, Mozilla (Firefox) und Oracle ganz schlecht aus (rote Ampellichter), Google und Linux jedoch glänzend (grün). Das gilt besonders für Apple. Seine Produkte standen fast schon jahrzehntelang qualitativ außer Frage, hatten den Ruf, manchmal nicht auf den neuesten Stand, aber hervorragend aufeinander abgestimmt und leider auch hochpreisig zu sein. Das machte sie eher zu Nischenprodukten mit geringer Verbreitung und deshalb uninteressant für Malwareschreiber und andere Angreifer. Das hat sich geändert und 24 kritische offene Schwachstellen (laut BSI) sind ein deutliches Warnsignal.
 

zurück zum Verweis Bedrohungen im 4. Quartal 2011
 

03.03.2012 
 Ende Februar stand der Threat-Report von für das vierte Quartal 2011 noch aus (1). Jetzt ist er verfügbar (2).

Bereits im Vorwort heißt es <S. 3>:

Beinahe alle Bereiche von Malware und Spam erlebten einen Rückgang. Lediglich Mobilgeräte-Malware bildete hierbei eine Ausnahme: Sie nahm im Verlauf dieses Quartals zu und erlebte ihr bislang aktivstes Jahr. Wieder einmal war Android die Plattform der Wahl für Malware-Autoren. Und auch wenn die Zahl neuer Malware-Varianten zurückging, hat die Gesamtmenge der von uns erfassten Varianten, wie von uns Ende 2010 vorausgesagt, die 75-Millionen-Marke überschritten.

Das Wachstum der Botnetze war seit August zurückgegangen und nahm im November und Dezember wieder zu. Brasilien, Kolumbien, Indien, Spanien sowie die USA erlebten heftige Zunahmen. Dem gegenüber stehen Deutschland, Indonesien und Russland, wo die Zahl der Neuinfektionen zurückging <S. 11>.

Bemerkenswert ist die Zunahme der präparierte Webseiten, um mit den Methoden des Drive-By-Downloads irre geleitete Besucher mit Malware jeder Art zu infizieren. Im 3. Quartal entdeckte McAfee noch täglich 3.500 neue Webseiten, die mit solcher Malware infiziert waren. Im 4. Quartal stieg die Zahl auf 6.500 täglich neue und schließlich im Dezember 2011 auf insgesamt mehr als 700.000 aktive böswillige Webseiten <S. 19>.

Lesenswert sind die Aktionen gegen Internet-Kriminelle <S. 20>, über die mehr oder weniger erfolgreichen Aktionen von Anonymous <S. 21> und schließlich die neue Masche der Hacktivismus-Szene: Das "Doxing" <S. 21>, also die Veröffentlichung von Fotos sowie der persönlichen und familiären Details von Polizisten im Internet.

Der Bericht nennt 5 Beispiele, von denen sich jedenfalls 2 gegen polizeiliche Übergriffe wenden und die Schaffung von Gegenöffentlichkeit nachvollziehbar werden lässt.
Die Doxing-Technik zielt nicht nur auf die Polizei, sondern auch auf andere Personen des öffentichen Lebens, sobald diese durch besonders kontroverse Aussagen oder Aktionen auffallen, die den Idealen der Hacktivisten zuwider laufen. <S. 22>

Im Übrigen spricht McAfee von "Internetscharmützeln", womit hacktivistische Aktionen gemeint sind, die eine staatliche oder politische Beteiligung erwarten lassen. Sie betreffen den Konflikt zwischen Israel und Palästina, Angriffe der "Marokkanischen Abschreckungsarmee" (Maroccan Deterrence Forces) gegen offizielle Webseiten in Katar (nachdem dort bei einer Sport-Berichterstattung eine Landkarte Marokkos ohne den marokkanischen Teil der Sahara gezeigt wurde) und Russland <22>: Im Zuge der Wahlen in Russland Anfang Dezember wurden liberale russische Medien sowohl eine Wahlprüfungsorganisation durch koordinierte DoS-Angriffe (Denial of Service) blockiert. Auch diverse andere unabhängige Medienwebseiten, die über die Wahlmanipulationen berichteten, waren von Internetangriffen betroffen.

Die Quartalsberichte von McAfee sind und bleiben etwas Besonderes. Kein anderes Sicherheitsunternehmen analysiert so systematisch und regelmäßig die Bedrohungen und Entwicklungen in der dualen Welt wie McAfee. Die anderen liefern auch wichtige Informationen, aber eben weniger systematisch und weniger regelmäßig. Ihre Beiträge müssen meistens mit anderen Fakten und Bewertungen in Verbindung gesetzt werden und sind eher Puzzlesteine im Gesamtbild. Ihre Brisanz im Einzelfall mag sogar erheblich größer sein als die Zahlenwerke von McAfee. Das schmälert die Bedeutung der Quartalsberichte hingegen nicht.


(1) Berichte und Studien zu einzelnen Sicherheitsaspekten, 25.02.2012

(2) Threat-Report: Viertes Quartal 2011, McAfee 09.02.2012
 

zurück zum Verweis jedem Hacker sein eigener Honigtopf
 

03.03.2012 
 Im Zusammenhang mit "professionellen Firmennetzen" habe ich bereits 2007 über Honeypots berichtet und gelästert (1):

Es handelt sich dabei um eine Art Hinterzimmer, in dem interessante und in aller Regel falsche Daten bereit gehalten werden. Der Honeypot ist entweder durch keine Firewall
geschützt oder durch eine, die verhältnismäßig einfach überwunden werden kann. Zu ihm und seinen "Spieldaten" sollen Angreifer gelockt werden, um sie von dem internen LAN abzulenken und bei ihren Handlungen beobachten zu können.

Ich halte das Honeypot-Konzept für eine informationstheoretische Spielerei mit mehreren Nachteilen: Es akzeptiert, dass sich Angreifer in der DMZ austoben und die dort vorgehaltenen, keineswegs unwichtigen Daten kompromittieren können. Dazu vernachlässigt es womöglich den sicheren Betrieb der Firewall "FW1" und verursacht wirtschaftlich fragwürdige Kosten für die Technik und den Betrieb des Honeypots.

Eine neue Variante davon stellt Tom Simonite bei vor (2): Die Firma Mykonos verwendet nicht nur (übliche) Firewalls und andere Sicherheitsmaßnahmen, sondern auch eine Software, die sich ganz persönlich um den einzelnen Angreifer kümmert.

Gedacht ist die Methode für Websites, die vor allem von weniger ambitionierten Hackern besucht werden, sogenannten Script Kiddies. Sie versuchen mit verschiedenen Standardmethoden und Software aus dem Internet, in die Online-Angebote von Banken, E-Commerce-Shops, sozialen Netzwerken und anderen Institutionen einzudringen. Sobald die Mykonos-Technik dies erkennt, wird auf dem Computer des Angreifers ein sogenanntes Supercookie abgelegt, ein digitaler Fingerabdruck, der sich aus der Ferne auslesen, aber nur extrem schwer löschen lässt.

Jeder Hacker bekommt von dem System seine persönlichen Aufgaben und Kopfnüsse vorgesetzt. Ihm werden besonders interessante Daten oder Downloads vorgespiegelt und von schützenswerten Inneren des Netzes abgelenkt. Das ermöglicht auch andere Spielchen: Der Hacker wird auf eine Internetseite geleitet, auf der er sich einen Strafverteidiger aus seinem Wohnumfeld aussuchen kann.

Honeypot-Systeme im eigenen LAN sind kein Problem. Hier kann der Betreiber mehr oder weniger machen, was er will. Mit der Injektion eines "Supercookies" beginnt die Sache strafrechtlich interessant zu werden, weil das bereits eine strafbare Datenveränderung sein kann, die man vielleicht noch mit dem eigenen Interesse an der Abwehr von Angriffen rechtfertigen kann (das mögen andere klären).

Meine Vorbehalte gegen die Honeypot-Systeme haben sich damit nicht geändert. Es mag für Sicherheitsleute interessant sein zu beobachten, wie sich Angreifer verhalten, was sie können, woher sie kommen und was sie wollen. Das können die Pötte sicherlich leisten. Ob das hingegen nötig ist, müssen die Unternehmen jeweils für sich entscheiden. Zum unverzichtbaren Sicherheitsstandard gehören diese Systeme jedenfalls nicht.


(1) Dieter Kochheim, Cybercrime, 24.05.2010, S. 20

(2) Tom Simonite, Beschäftigungstherapie für böse Hacker, Technology Review 28.02.2012
 

zurück zum Verweis Netzkontrolle gegen Cyberangriffe
 

04.03.2012 
 Forderungen nach dem Abschalten des Internet oder einem "Reset" klangen bisher etwas hilflos und engstirnig (1). Jetzt machen die USA ernst damit (2).

Die Netztopographie des Internet wirkt chaotisch und beruht auf eher zufälligen Verbindungen zwischen verschiedenen Subnetzen, die für sich jeweils ein Autonomes System - AS (3) - bilden, mit mindestens zwei anderen Netzen verbunden sind und als Verbindungsnetz den Datenverkehr anderer Netze durchleiten. Die dazu nötigen Protokolle stellt einerseits das Internetprotokoll - TCP/IP - und andererseits (ergänzend) das Border Gateway Protocol - BGP (4) - zur Verfügung. Nach den Richtlinien des BPS meldet jedes AS, mit welchen anderen AS es verbunden ist. Die Verrechnung der Durchleitungsdienste erfolgt aufgrund von Peering-Verträgen (5) und die ganz Großen im Geschäft ( Tier 1) zeichnen sich dadurch aus, dass sie niemanden zahlen.

Dennoch sind die Datenströme steuerbar. Das Stichwort dafür ist das Routing (6). Im Gegensatz zum Hub, der ausgehende Daten wahllos an alle angeschlossenen Netzadressen leitet, lassen sich mit einem Router (auch Switch) die Datenströme zielgerichtet zu bestimmten Netzadressen leiten. Das macht aus mehreren Gründen Sinn. Es dient dem Lastausgleich, hilft dabei, besonders preisgünstige AS anzusteuern, und macht es möglich, bestimmte Netzknoten, die als unsicher gelten, zu umgehen. Für die großen internationalen Netzbetreiber ist es von Interesse, die Daten so lange wie möglich im eigenen Netz zu transportieren (7). Nur Dank des Routings ist das "Tunneln" mit verschlüsselten und unkenntlich gemachten Header-Daten möglich (8).

Um sich gegen Cyberangriffe zu wehren, sollen die Sicherheitsbehörden in den USA - voran die National Security Agency - NSA - in die Lage versetzt werden, gefährdete Netzbereiche abzukoppeln und Datenströme umzuleiten, um Angriffe und Gefahren abzublocken. Dazu sollen auch die privaten Netzbetreiber in die Pflicht genommen und gezwungen werden, beim Ausbau ihrer Netze die Sicherheitsanforderungen einzuhalten und bei Gefahren an ihrer Abwehr mitzuwirken.

Ob das überhaupt funktioniert, hängt von der Netztopographie ab und vor allem davon, wie stark die Netze verschiedener Carrier miteinander verknüpft sind. Ein nationales Kommunikationsnetz, das als internationale Knoten nur ein oder zwei Gateways betreibt, lässt sich genau an diesen Stellen abtrennen und die ein- und ausgehenden Datenströme überwachen. Bei stark verwobenen Kommunikationsnetzen wie in den USA und in Europa ist das nahezu ausgeschlossen. Hinzu kommen die kabellosen Verbindungsstrecken per Satellit, Richtfunk und dem Nahfunk (WLAN), mit dem sich ebenfalls erhebliche Strecken überbrücken lassen.

Die Netztopographie und ihre Kontrolle ist der eine Aspekt bei der Abwehr von auswärtigen Cyberangriffen. Der andere ist das Erkennen von Angriffen und damit verbunden die Überprüfung der Datenströme (Deep Data Protection). Ohne sie kommt eine Abwehrstrategie nicht aus und damit kommen wir zu den Visionen, die Dan Brown ausgeführt hat (9).


(1) Internet-Reset, 01.08.2010

(2) Tom Simonite, Digitale Geister, die ich rief, Technology Review 02.03.2012

(3) autonome Systeme und Tiers, 2007

(4) IP-Adressen ohne Beweiswert, 16.05.2010

(5) Tier-1 ... 2 ... 3, 2007

(6) Routing, 06.12.2009

(7) Dieses Vorgehen wird als "Cold Potato" bezeichnet und besonders bekannt dafür ist IBM, (5).

(8) Verschlüsselung. Tunnelung, 30.03.2008

(9) Brown, Diabolus, 14.02.2009. Siehe auch Frenchelon, 12.07.2009.
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 04.03.2012