Autor Thema: Sicherheitskonferenz Black Hat / DeepSec /Defcon etc.  (Gelesen 35833 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Router-Zugang durch die Hintertür
« Antwort #45 am: 02 August, 2010, 15:02 »
Über ein paar Tricksereien mit der Namensauflösung kann sich ein Angreifer unter gewissen Umständen Zugang zum Web-Frontend eines Routers verschaffen. Ist dieses dann unzureichend gesichert, stehen ihm damit Tür und Tor offen. Wie Craig Heffner in seinem Vortrag auf der Black Hat selbst zugab, ist in dem Angriff jedoch nicht viel grundsätzlich Neues enthalten. Er mixt eher ein paar Zutaten wie DNS-Rebinding und laxe Zugriffsregeln auf Routern raffiniert zusammen, um auf ein existierendes Problem aufmerksam zu machen.

Der grundsätzliche Trick besteht darin, dass der vom Angreifer kontrollierte DNS-Server für eine Web-Seite wie www.p0wn.you zwei Adressen zurückliefert. Das ist durchaus üblich und wird unter anderem für Lastverteilung auf mehrere Server genutzt. In diesem Fall liefert das DNS jedoch zusätzlich zur echten IP-Adresse noch die IP-Adresse des aktuellen Besuchers von p0wn.you zurück – also die der externen (DSL-)Schnittstelle dessen Routers.

Der Browser verwendet zunächst die erste, also die richtige Server-Adresse, um die Web-Seite zu holen. Dort ist JavaScript-Code eingebettet, der zum Beispiel versucht, eine Web-Seite wie

http://www.p0wn.you/firewall-config.html

zu öffnen. Diesmal verweigert der Server des Angreifers jedoch die Annahme der Verbindung, was dazu führt, dass sich der Browser erinnert: "Da war doch noch eine zweite Adresse – probier ich eben die". An dieser Stelle kommt dem Angreifer eine laxe Grundeinstellung zugute, die viele Router von dem darunterliegenden Linux-System geerbt haben: Sie akzeptieren auf der internen Schnittstelle Anfragen, die eigentlich an die äußere gerichtet sind. Das heißt, das Skript kann auf diesem Weg nicht nur die Web-Seite zu den Firewall-Einstellungen des Routers abrufen, sondern der Browser denkt auch noch, dass diese Seite zur Domain p0wn.you gehört. Das wiederum bedeutet, dass das Skript vollen Zugriff auf diese Seite hat und ohne Zutun des Anwenders etwa die Firewall abschalten könnte, indem es das Häkchen in der Auswahlbox zu "Deaktiviere Firewall" setzt und den "Speichern"-Button anklickt.

Voraussetzung für diesen Angriff ist allerdings, dass der Angreifer die Zugangssicherung des Routers austricksen kann. Das kann entweder über ein erratbares Default-Passwort geschehen, oder weil die Web-Oberfläche des Routers ohnehin bereits in einem zweiten Browser-Fenster geöffnet ist. An dieser Stelle setzen auch die aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an, die grundsätzlich auch dann sinnvoll sind, wenn der eigene Router für diesen speziellen DNS-Rebinding-Angriff nicht anfällig ist.

Man sollte zum einen unbedingt für die Web-Oberfläche des Routers ein eigenes, nicht zu erratendes Passwort setzen. Und zum zweiten sollte man für Arbeiten an der Web-Oberfläche des Routers grundsätzlich eine neue Browser-Sitzung starten, also zunächst alle Browser-Fenster schließen, ein einzelnes, neues Browser-Fenster öffnen und dieses nach Beenden der Arbeit am Router direkt wieder schließen. Das mag manchem als unnötig kompliziert erscheinen. Doch nur so ist sichergestellt, dass externe Skripte sich nicht einmischen können. Außerdem sollte man auch regelmäßig prüfen, ob es Updates für den Router gibt und diese auch einspielen. Darüber hinaus empfiehlt das BSI noch, das Funknetz via WPA2 mit einem eigenen Passwort zu sichern.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Hacker gelangt durch soziale Netzwerke an geheime US-Informationen
« Antwort #46 am: 02 August, 2010, 16:20 »
Dass die US-Behörden und die amerikanische Armee das ein oder andere "Problemchen" mit dem Datenschutz haben, ist spätestens seit der Veröffentlichung der vielen Afghanistandokumente bekannt. Nun demonstrierte der Hacker Thomas Ryan auf der Hackerkonferenz Black Hat wie es ihm mittels Internet und einer fiktiven Frau gelang auf sozialen Plattformen geheime US-Informationen zu erlangen.

Robin Sage, 25 Jahre alt, Absolventin der Technischen Hochschule in Massachusetts, seit 10 Jahren Analystin für Cybersicherheit der US-Marine und das wohl brisanteste Merkmal – sie ist völlig fiktiv. Zwischen Dezember 2009 und Januar 2010 war sie auf Internetplattformen wie Facebook und Co. vertreten und machte dort Bekanntschaft mit zahlreichen wichtigen amerikanischen Personen. So gelang es ihr innerhalb eines Monats in Kontakt mit Soldaten, dem Stabschef eines Parlamentariers, dem Informationsdirektor der Marine und sogar mit Mitarbeitern der National Security Agency in Kontakt zu treten. Ihr gelang es dabei an einige vertrauliche Informationen der US Sicherheit zu gelangen. Beispielsweise erhielt sie Zugriff zu E-Mail- und Bankkonten und brachte in Erfahrung, wer mit wem im exklusiven Sicherheitsmilieu der USA verkehrt. Gegen Ende ihres Daseins konnte sie sogar einige Jobangebote an Land ziehen. Unter anderem als Referentin für Google und den weltgrößten Rüstungskonzern Lockheed Martin.

Schöpfer der jungen Dame war der IT-Experte der New York Times Thomas Ryan. Er bastelte sich die Frau aus einem frei erfundenen Lebenslauf und ein paar Bildern von Pornoseiten zusammen. Er wollte mit seinem Coup zeigen, dass soziale Netzwerke sich scheinbar problemlos von Hackern und Spoinen ausnutzen lassen können. Dies ist ihm bei seiner Präsentation mit dem Namen „Robin Sage ins Bett kriegen“ auf der Hackerkonferenz Blackhat eindrucksvoll gelungen.

Doch nicht alle fielen auf den Schwindel herein. Auch berühmte Hacker versuchte Ryan in den Bann seiner fiktiven Freundin zu ziehen. Diesen aber kam das Profil der Lady suspekt vor, wodurch sie die Freundschaftsanfrage ablehnten. Ryan gab allerdings an, dass er das Profil absichtlich mit einigen Fehlern ausstattete. Doch die wenigsten bemerkten diese und fragten sich nicht, wie eine 25-Jährige zehn Jahre Berufserfahrung haben kann.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec IT-Sicherheitskonferenz: Programm online
« Antwort #47 am: 22 August, 2010, 10:04 »
Das Ringen um die Reihenfolge der Vorträge der Wiener IT-Security Konferenz DeepSec ist beendet. Das Programm der Veranstaltung vom 23. bis einschließlich 26. November steht nun allen Interessierten zur Verfügung.

Die DeepSec besteht wie jedes Jahr aus zwei Teilen. An den ersten beiden Tagen finden acht intensive Workshops zu unterschiedlichen Themen statt. Ab dem 25. November wird die eigentliche Konferenz abgehalten. Die Teilnehmer haben jeweils die Auswahl aus zwei unterschiedlichen Vorträgen, die zeitgleich ablaufen. Den Zuhörern werden thematisch sehr unterschiedliche Seminare rund ums Thema Hacking geboten. Die Sicherheit von mobilen Geräten spielt in unserer Gesellschaft eine immer größere Rolle. Raphaël Rigo wird deswegen im Rahmen seines Seminars auf die Interna des Betriebssystems Android eingehen. Marco Bonetti hingegen zeigt, wie man Tor auf einem iPhone oder anderen ungewöhnlichen Geräten betreiben kann. Laurent Oudot von TEHTRI-Security geht auf die Sicherheitsschwachstellen verschiedener Geräte wie iPad, iPhone, HTC, Blackberry etc. ein. Er konzentriert sich auf die Hardwarearchitektur der Hardware und verrät, wo sich bisher verborgene Bugs befinden könnten. Die 32 Vorträge der beiden Tage dürften aber die Interessenbereiche wirklich aller Besucher abdecken. Von CyberWar, unsicheren Passwörtern, DOS-Attacken über SAP-Hacking, GSM-Debugging, Erkennung von Keyloggern oder Malware in Musikstücken und Filmen ist so ziemlich alles dabei, was man sich überhaupt vorstellen kann. Mindestens auf zwei Seminaren werden Premieren im Bereich Hacking bekannt gegeben. DeepSec-Macher René Pfeiffer schwieg sich natürlich darüber aus, wo dies der Fall sein wird. Nichts tötet einen 0-Day Exploit so schnell, wie eine vorherige Ankündigung.

Wie man auf dem eigenen Blog bekannt gab, so war der Grund für die Verzögerung an sich überaus positiv. Dem Komitee fiel es schwer, aus den vielen hochwertigen Einreichungen die richtigen Beiträge herauszufiltern.

Das Konzept der DeepSec dürfte in Europa einmalig sein. Jedes Jahr sind neben Datenschützern und Personen aus dem Umfeld des CCC auch Cyberkriminelle, Vertreter von Anti-Viren-Firmen und Mitarbeiter von verschiedenen Ermittlungsbehörden anwesend, um sich dort auszutauschen. Kriminelle verschiedener Sparten und ihre Gegner treffen also in Wien aufeinander, als wäre nichts dabei. Die DeepSec bietet ihnen allen dabei einen sicheren Boden, auf dessen Grundlage sie sich gefahrlos und anonym begegnen können. Wie Organisator René Pfeiffer uns im Interview erzählte, werden die Namen der Teilnehmer des Events unter keinen Umständen bekannt gegeben. Wer anonym sein will, der kann es hier auch bleiben. Trotz der höchst explosiven Michung der Gäste ist es bisher nie zu irgendwelchen Ausschreitungen gekommen.

Wer sich weitergehend informieren möchte: Das Programm der Trainings und der Konferenz ist hier einsehbar.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Schwerpunkt mobile Sicherheit
« Antwort #48 am: 01 September, 2010, 15:48 »
Die internationale Sicherheitskonferenz DeepSec, die dieses Jahr vom 23. bis zum 26. November in Wien stattfinden wird, wird sich primär mit dem Thema "Sicherheit mobiler Systeme" befassen. Zahlreiche Experten werden Vorträge und Workshops abhalten - und, so zeichnet es sich bereits ab, aufzeigen, dass mobile Netze oftmals nur sehr schlecht abgesichert sind.

Das Besondere an der DeepSec ist, dass sich hier Sicherheitsexperten aus allen Bereichen versammeln. Es werden auch dieses Jahr wieder IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community erwartet. Diese illustre Runde wird sich dieses Jahr primär mit der Sicherheit mobiler Systeme und deren Benutzer sowie der Infrastruktur der nächsten Generation befassen.

Auf der Konferenz sollen einige Sicherheitslücken auch live demonstriert werden. Wie leicht Handynutzer zum Opfer von Datendieben werden können, zeigt Sicherheitsforscher Ralf Philipp Weinmann auf der DeepSec zum ersten Mal an einem Beispiel: In seinem Vortrag stellt er eine Möglichkeit vor, Apples iPhone mit einer manipulierten Funknetz-Basisstation zu hacken, ganz ohne sich am Gerät oder seiner Internet-Verbindung zu schaffen zu machen. Zum Datentransport setzt er dabei lediglich das reguläre Mobilfunknetz (GSM) ein, das in 219 Ländern von über 4,3 Milliarden Menschen genutzt wird und über das die reguläre Handy-Kommunikation läuft. Mit seinem Vortrag legt Weinmann dar, wie prekär die aktuelle Sicherheitslage im Handy-Netz tatsächlich ist. Sein Vortrag "All your baseband are belong to us" findet am 26. November ab 11:50 Uhr statt.

Auch andere Sprecher behandeln intereressante Aspekte der mobilen Sicherheit: In ihrem zweitägigen Workshop "Attacks on GSM networks" gehen die Sicherheitsexperten Karsten Nohl (Security Research Labs, Berlin) & Harald Welte (HMW-Consulting, Berlin) auf die kritischen Sicherheitsbereiche des Funknetzwerkes ein, während Raphaël Rigo von der Französischen Netzwerk- und Datensicherheitsagentur (ANSSI) in seinem Vortrag "Android: Reverse Engineering and Forensics" Schwachstellen aktueller Handys mit Googles Android-Betriebssystem aufdeckt.

Auch einen Trainings-Workshop zum Thema Social Engineering soll es geben. Dort sollen Angestellte aus dem Bereich IT-Sicherheit geschult werden, am Telefon nicht auf soziale Tricks von Betrügern hereinzufallen. "Viele Leute sind verdutzt, wenn sie merken, dass solche Spionagetechniken schon längst nicht mehr nur in Hollywood-Thrillern eingesetzt werden", erklärt René Pfeiffer, Organisator der DeepSec. In dem zweitägigen DeepSec-Workshop lernen Teilnehmer übrigens auch, wie sie ihre Mitarbeiter für Social-Engineering-Angriffe sensibilisieren und damit die Datensicherheit in der eigenen Firma stärken können.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec: Mobilfunknetz und Cyberwar als Vortragsthema
« Antwort #49 am: 19 November, 2010, 18:14 »
Mit den möglichen Folgen von - insbesondere staatlichen - Angriffen auf das Mobilfunknetz wird sich einer der Vorträge auf der nächste Woche in Wien stattfindenden IT-Sicherheitskonferenz DeepSec befassen. Angesichts der verbreiteten Smartphone-Nutzung für die verschiedensten Zwecke befürchten Experten erhebliche Auswirkungen derartiger Angriffe.

"Das GSM-Mobilfunknetz wird in 200 Ländern eingesetzt  und besitzt eklatante Schwachstellen, über die wir aufklären", erklärt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die vom 23. bis 26. November 2010 in Wien stattfindet. "Nur wenige Menschen realisieren, dass das Mobilfunknetz für die persönliche und nationale Sicherheit ebenso relevant ist wie zum Beispiel das Stromnetzwerk." Das Mobilfunknetz sieht Pfeiffer, wie auch andere Experten, als Teil der sogenannten "kritischen Infrastrukturen", die für das gesellschaftliche Leben eine große Bedeutung haben und daher auch für böswillige Angreifer ein attraktives Ziel darstellen.

In Aufständen, Revolutionen oder (virtuellen) Kriegen, so die Befürchtung von Experten, könnte ein gezielter Angriff auf das GSM-Netz eines Landes verheerende Folgen mit sich bringen. Mobilfunk-gestützte Sicherheitssysteme in Banken, Behörden oder Firmen würden aufhören zu funktionieren - und Bürger könnten mit ihrem Mobiltelefon keine Notrufe mehr absetzen. Bei einem solchen Anschlag auf die technologische Infrastruktur stünden Menschenleben auf dem Spiel. Vertreter von Sicherheitsfirmen und Behörden würden daher dem Schutz des Mobilfunknetzes wie auch anderer kritischer Infrastrukturen mittlerweile einige Bedeutung zumessen. Die Ausarbeitung entsprechender Sicherheitsmaßnahmen steckt allerdings oftmals noch in den Kinderschuhen.

Ein weiteres Risiko bei der verstärkten Nutzung mobiler Geräte sind Datendiebstähle - ob es nun um private Informationen, Account-Daten oder Firmengeheimnisse geht. Viele der Geräte sind nur unzureichend abgesichert, werden aber trotzdem zunehmend benutzt, um auf sensible Informationen zuzugreifen und diese auch zu speichern. Dabei sind auch geschlossene Systeme wie Apples "App Store" kein Allheilmittel: "Handy-Kaufplattformen für so genannte 'Apps' sind nicht so sicher, wie viele vermuten", erklärt Pfeiffer und weist damit auf das vielseitige Programm der Sicherheitskonferenz hin, auf der die akuten Sicherheitsprobleme mobiler Geräte wie Handys oder Tablet-PCs im Vordergrund stehen.

Die DeepSec ist laut Selbstbeschreibung eine "neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in 33 Vorträgen und acht Workshops erneut die Chance, sich über die brennenden Sicherheitsthemen auszutauschen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind." Die Konferenz wird diesmal unter dem Thema "Mobile Security" stattfinden. Auch gulli:News wird von dort berichterstatten.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Malware World 2010
« Antwort #50 am: 27 November, 2010, 17:49 »
Auf der IT-Sicherheitskonferenz DeepSec hielt Toralv Dirro von den McAfee Labs einen Vortrag unter dem Titel "Malware Trends 2010 - Beware the Predators". Darin stellte er überraschende ebenso wie weniger überraschende Trends aus der Malware- und Cybercrime-Welt vor und gab auch einen kurzen Ausblick auf die Zukunft.

Neben der Frage, was, wie Dirro es formulierte, "momentan in der Welt der Malware vor sich geht", beschäftigt Sicherheitsexperten - und insbesondere Unternehmen wie McAfee - natürlich auch, welche Sicherheitsmaßnahmen sinnvoll und effektiv sind.

Zunächst berichete Dirro über die internationale Cybercrime-Szene. Insbesondere die Motivation der Kriminellen sowie die ihnen zur Verfügung stehenden Ressourcen wurden vorgestellt. In Sachen Motivation hatte Dirro nichts neues zu berichten: der Trend zur Professionalisierung der Cybercrime-Szene setzte sich auch im Jahr 2010 ungebremst fort. Der Mehrheit der Spammer, Botnet-Betreiber, Datendiebe und anderen Online-Kriminellen geht es um handfeste finanzielle Gewinne. Alles, was diese Menschen tun, ist darauf optimiert, mit ihren illegalen Operationen möglichst viel Geld zu verdienen - idealerweise schnell, einfach und risikoarm.

So überrascht es nicht, dass der Untergrund-Markt nach wie vor floriert. In meist russisch-sprachigen Foren werden die verschiedensten Datensätze, Malware oder auch Exploits für bekannte Software angeboten. Die dort gehandelten Datensätze veränderten sich allerdings laut Dirro im vergangenen Jahr. Kreditkarten-Nummern, früher ein beliebtes Handelsgut, haben extrem an Wert verloren. Sie bringen nur noch wenige Cent pro Stück und werden daher entsprechend seltener angeboten. Wer momentan mit entwendeten Kreditkarten-Daten Profit machen will, sollte besser dazu übergehen, Dumps des kompletten Magnetstreifens anzufertigen. Diese Art Datensatz nämlich, so Dirro, ist derzeit begehrt.

Ebenfalls in großer Auswahl in entsprechenden Foren angeboten werden "Scriptkiddy-Toolkits", erklärte Dirro. Darunter verstand er Malware, die auch von technisch relativ unerfahrenen Personen genutzt und weit verbreitet werden kann. Als Beispiel nannte er den insbesondere in den ersten beiden Quartalen immens populären Trojaner "ZeuS". Er führte vor, wie mit Hilfe eines grafischen Konfigurationsmenüs in Minuten eine eigene Version von ZeuS, angepasst an den gewünschten Verwendungszweck, erstellt werden kann. Anschließend wird anhand der ausgewählten Optionen das Binary kompiliert. In der Folge existieren unzählige verschiedene ZeuS-Versionen, was eine Erkennung äußerst schwierig gestaltet. Nach Schätzungen von McAfee finden sich zu jedem Zeitpunkt zwischen 1000 und 2000 ZeuS-Varianten gleichzeitig im Netz. Je nach Verbreitung - weniger verbreitete Schädlinge bleiben länger unentdeckt - kann eine neue ZeuS-Variante so tage- bis monatelang Rechner infizieren, bis sie von den Sicherheitsexperten entdeckt wird. Mit ZeuS wurden die unterschiedlichsten Cybercrime-Kampagnen realisiert, äußerst gezielte ebenso wie ungezielte und auf massenhafte Infektionen ausgelegte. Im Zusammenhang mit ZeuS berichtete Dirro auch kurz über die mögliche Fusion von ZeuS mit dem bisherigen Konkurrenten SpyEye (gulli:News berichtete). Außerdem erwähnte er, dass es mittlerweile ein Add-On gibt, das ZeuS auch auf Mobile Devices nutzbar macht. Dieses befinde sich allerdings noch im experimentellen Stadium.

Allgemein, erklärte Dirro, sei Malware weiterhin auf dem Vormarsch. Momentan kämen täglich so viele neue Malware-Typen - oft, wie beim ZeuS-Beispiel, Variationen existierender Malware - hinzu, dass die Anbieter herkömmlicher, rein auf Signaturen basierender Schutzsoftware oftmals kaum hinterher kämen. Um dieses Problem zu verringern, arbeite man momentan daran, die Malware-Analyse weitestgehend zu automatisieren, berichtete der Sicherheitsforscher. Auch versuche man, die Reaktionszeit durch Cloud-Systeme zu verbessern - dies erläuterte er im weiteren Verlauf des Vortrages noch genauer.

Ein Comeback startet nach Erkenntnissen von McAfee momentan die sogenannte Adware. Eine Weile schienen diese nervigen Schädlinge verschwunden zu sein, nun jedoch werden sie als einfache und billige Möglichkeit, unerwünschte Produktwerbung unter die Leute zu bringen, wiederentdeckt. Anders als früher geschieht die Verbreitung heute meist durch sogenannte Drive-by-Downloads, also automatische Downloads von kompromittierten oder eigens für diesen Zweck eingerichteten Seiten.

Die Zahl der Botnet-Infektionen blieb das Jahr über nahezu konstant. Dirro berichtete von rund sechs Millionen Neu-Infektionen im Monat.

Im Jahr 2009 war die Problematik sogenannter Scareware - gefälschter, aggressiv vermarkteter Sicherheitsprogramme - in den Fachmedien äußerst präsent. Nun scheint die Beliebtheit dieser Cybercrime-Variante leicht abzunehmen. Dirro berichtete, die Verbreitung von Scareware habe 2009 ihren Höhepunkt erreicht. Noch immer sei sie allerdings ein beliebtes und auch lukratives Geschäft für Online-Kriminelle.

Drive-by-Downloads sind laut Dirro nicht nur bei der Scareware-Verbreitung eine beliebte Strategie. Auch bei sonstigen Formen der Cyberkriminalität erfreuen sie sich großer Beliebtheit. Die Seiten, die die Scareware oder sonstige Malware beinhalten, werden dabei oftmals durch SEO-Tricks ("Black Hat SEO") bekannt gemacht. Das bedeutet, dass die Seiten so suchmaschinen-optimiert werden, dass sie bei Suchen nach aktuellen Themen - laut Dirro sind insbesondere Naturkatastrophen und Todesfälle von Prominenten beliebt - unter den ersten Treffern erscheinen. So werden zahlreiche nichtsahnende Besucher auf die Seiten gelockt. Dirro erklärte, dass insbesondere schnelles Reagieren den Online-Kriminellen Vorteile verschafft. Schaffen sie es, ihre Seite bei Google, Bing und co. bekannt zu machen, bevor beispielsweise die großen Nachrichten-Agenturen sich eines Themas annehmen, erhält die Seite für die erste Zeit recht leicht einen hohen Rang - gute Besucherzahlen sind dann wahrscheinlich. Oft, so Dirro, wird die Malware in Form eines gefälschten Multimedia-Codecs - der angeblich nötig ist, um das Video mit den brandheißen News abzuspielen. Dirro berichtete, dass mittlerweile rund 60% der beliebtesten Google-Suchbegriffe bösartige Seiten unter den ersten 100 Treffern aufweisen. Insgesamt seien zahlreiche Malware-Seiten online, so der Sicherheitsforscher.

Als großes Problem sehen Sicherheitsexperten zunehmend auch sogenannte "targeted attacks", gezielte Angriffe auf bestimmte Personen oder Unternehmen, als Problem an. Dabei, so Dirro, erhalten nur wenige Angriffe mediale Aufmerksamkeit. Dies liegt vor allem daran, dass viele Unternehmen sich nach Kräften bemühen, derartige Vorfälle nicht an die Öffentlichkeit gelangen zu lassen, da sie befürchten, dass sie das Vertrauen der Kunden untergraben. Von derartigen gezielten Angriffen, sagte Dirro, seien auch Regierungsbehörden zunehmend betroffen. So wurde beispielsweise das US Central Command Opfer einer entsprechenden Attacke. Die Angreifer, die solche gezielten Attacken durchführen, sind verfügen meist über große Ressourcen und eine große Ausdauer. Sie verbreiten ihre Malware nur sehr wenig, damit diese möglichst unbekannt bleibt. Außerdem spielen bei solchen Angriffen meist Social-Engineering-Techniken eine große Rolle.

Kurz wurde von Dirro auch der berüchtigte Schädling Stuxnet erwähnt "für die beiden Leute im Raum, die tatsächlich noch nichts davon gehört haben". Größtenteils wiederholte er bereits bekannte Erkenntnisse. Interessant war allerdings seine Analyse: Dirro ist der Ansicht, dass Stuxnet keine "Kollateralschäden" erzeugen, also nicht massenhaft Unbeteiligte infizieren, sollte. Aufgrund der eingebauten Verbreitungsmechanismen sei dies allerdings "kläglich gescheitert" und Stuxnet massenhaft verbreitet worden - laut Dirro ein Beleg für die Tatsache, dass es nicht immer funktioniert, seinen Angriff auf bestimmte Ziele zu beschränken.

Anschließend berichtete Dirro über aktuelle Trends in der Sicherheitssoftware-Branche, insbesondere bei seinem Arbeitgeber McAfee. Eine Technologie, die mittlerweile bei fast allen Anbietern von Antiviren-Software in irgendeiner Form Verwendung finde, sei das Cloud Computing, so Dirro. Die meisten Unternehmen würden allerdings die genauen Details ihrer Implementierung geheim halten. Allgemein jedenfalls funktioniert es so, dass die Cloud bei der Analyse verdächtiger Dateien hilft. Dazu wird der Hash der Datei, zusammen mit einigen Metadaten, an die Cloud verschickt und dort abgeglichen. Bei McAfee, so Dirro, werde neben dem Hash lediglich die Quelle der Datei - etwa Internet-Download oder USB-Stick - angegeben. Der Experte erklärte, dass das Verschicken von mehr Metadaten bei der Analyse helfen und eventuell bei der Erkennung auch polymorphischer Schädlinge - also solcher, die sich so verändern, dass ihr Hash stets anders ist - helfen könnte. Allerdings würde dies auch stärker in die Privatsphäre der Kunden, auf deren Rechner sich ja womöglich sensible Firmendaten befinden, eingreifen. Man habe hier also einen Konflikt zwischen Privatsphäre und Sicherheit.

Als großen Vorteil des cloud-basierten Ansatzes nannte Dirro die dadurch mögliche Reaktionsgeschwindigkeit auf neue Malware-Typen. Kunden müssten nicht ständig die neuesten Signatur-Updates installiert haben, um sämtliche neuen Erkenntnisse nutzen zu können, da sich diese Definitionen in der Cloud befänden. Dirro erklärte allerdings auch, dass dies kein "radikal neues Konzept" sei, sondern vielmehr alten "Reputation Services" ähnele.

Die Nutzung der Cloud kann allerdings auch nicht alle Probleme bei der Malware-Erkennung lösen. Dies betonte auch Dirro. So sei beispielsweise die Erkennung polymorphischer Schädlinge, deren "Fingerabdruck" sich ständig ändert, äußerst schwierig. Außerdem könnte es unter bestimmten Umständen ein Problem darstellen, dass die Nutzung der Cloud ständig eine Internetverbindung verlangt. Diese sei zwar heutzutage normalerweise vorhanden. Es sei aber beispielsweise möglich, dass die Sicherheits-Vorschriften eines Unternehmens im Falle einer Infektion eine Deaktivierung der Netzwerk-Verbindung vorsehen. Daher müssten die Vorschriften nach Möglichkeit entsprechend angepasst werden. Zudem würde erwogen, für derartige Notfälle eine lokale Kopie der Cloud anzulegen.

Die Malware-Erkennung sei, so sagte Dirro, im Wandel. Verschiedene reputationsbasierte Erkennungssysteme - namentlich für Malware, Domains/URLs, IP-Adressen und Software-Schwachstellen - würden korrelieren. Bei den IT-Sicherheitsunternehmen gehe man zunehmend dazu über, diese Daten - laut Dirro über 100 Milliarden Abfragen pro Monat - zu analysieren und zueinander in Beziehung zu setzen.

Dirro beschloss seinen Vortrag mit seinen Vermutungen, was die Zukunft der Malware und der Malware-Bekämpfung angeht. Er berichtete, dass momentan die Technik, vertrauenswürdige Anwendungen auf Whitelists zu setzen, wieder verstärkt im Gespräch sei, zeigte sich allerdings skeptisch. Aufgrund der riesigen Anzahl vertrauenswürdiger Programme gebe es nach wie vor Probleme mit dem "scaling", also der Leistungsfähigkeit und der Aufnahme aller Anwendungen in die Whitelist. Allerdings handle es sich um einen interessanten Ansatz. Es werde momentan damit experimentiert, die Whitelist ebenfalls auf zentrale Server oder in die Cloud zu verlegen, was die Performance-Probleme in Grenzen halten könnte.

Kein großes Vertrauen zeigte Dirro in heuristische Systeme, also solche, die Malware rein anhand des Verhaltens erkennen sollen. Er meinte, dies habe bisher nie zuverlässig funktioniert, da das Spektrum möglicher Verhaltensweisen sowohl bei Malware als auch bei nicht destruktiven Programmen einfach zu groß sei. Dirro geht davon aus, dass diese Technik auch in der Zukunft allenfalls zur Ergänzung anderer Systeme Verwendung finden wird.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Der Cyber War aus politischer Sicht
« Antwort #51 am: 28 November, 2010, 06:17 »
Die DeepSec will, so die Zielsetzung, Experten verschiedener Hintergründe und Spezialgebiete zusammenbringen. Dieses Motto fand sich auch im Vortrag "Cyber War on the Horizon" von Stefan Schumacher wieder. Der selbständige Security Consultant versuchte, das eher technische Thema von rechtlicher, sozialer und politischer Seite zu beleuchten und entsprechend einzuordnen.

Schumacher versucht stets, die beiden Welten - die technische und die soziale - miteinander zu verknüpfen und aufzuzeigen, dass viele Fragestellungen und Probleme beide Bereiche berühren. Er ist seit rund 15 Jahren in der Open Source- und Hackerszene unterwegs, Entwickler für NetBSD und außerdem auch an Betriebssystemen und Kryptographie interessiert. Daneben studiert er Erziehungswissenschaften und Psychologie und ist seit diesem Jahr Präsident der Magdeburger Akademischen Gesellschaft für Außen- und Sicherheitspolitik. Er versucht, das Themenfeld der (IT-)Sicherheit von einem soziologischen Standpunkt aus zu erforschen. Seine Fachgebiete als Sicherheitsberater sind Social Engineering, Security Awareness und Gegenspionage.

Auf das Thema Cyberwar kam Schumacher nach eigenen Angaben durch den derzeit herrschenden Hype. Cyberwar, so berichtete Schumacher, werde in den Medien, der IT-Sicherheits-Szene, dem Militär, der Politik und auch unter Politikwissenschaftlern gleichermaßen viel diskutiert. Dies brachte den Sicherheitsberater zu einer grundlegenden Fragestellung: Ist es möglich, einen Krieg im Cyberspace zu führen? Die Antwort Schumachers auf diese Frage fällt differenziert aus und unterscheidet sich deutlich von dem, was momentan von vielen Politikern, aber auch Sicherheitsexperten zu hören ist.

Zunächst einmal definierte Schumacher den medienwirksamen Begriff "Cyberspace". Dieser habe eine technische (die verwendeten Geräte sowie die Software) und auch eine soziale (die Menschen, die das Internet nutzen, und ihre Interaktion) Dimension.

Der zweite Begriff, den man definieren müsse, so Schumacher, sei der Begriff "Krieg", da dieser ja in "Cyber War" beziehungsweise "Cyberkrieg" ebenfalls enthalten sei. Es existieren zahlreiche verschiedene Definitionen. Schumacher berief sich für seinen Vortrag auf die Definition des bekannten Militärtheoretikers Carl von Clausewitz, nach der Krieg ein politisches Instrument ist. "Der Krieg ist also ein Akt der Gewalt, um den Gegner zur Erfüllung unseres Willens zu zwingen", hatte von Clausewitz geschrieben. Vor diesem Hintergrund wollte Schumacher die Frage betrachten, ob ein "Cyber War" überhaupt eine realistische Vorstellung ist.

Ein reiner Cyberkrieg, so Schumacher, sei sehr unrealistisch. So sei es nicht möglich, einen Gegner allein durch Cyber-Angriffe zu entwaffnen und ihm "seinen Willen aufzuzwingen". Zudem könne man nicht von einem Krieg sprechen, wenn - wie es bei Cyber-Angriffen üblich ist - keine übergeordnete Strategie existiere. Dementsprechend, so Schumacher, käme Cyber-Angriffen eine rein unterstützende Rolle zu - sie könnten konventionelle Angriffe ergänzen und in diese eingebunden werden, aber nicht alleine stehen. Dementsprechend sei der Begriff "Cyber-Kriegführung" ("Cyber Warfare") wesentlich angemessener als der eines Cyberkrieges.

Einen wichtigen Unterschied, so betonte Schumacher, gebe es zwischen Cyber-Angriffen und anderen Angriffen. Bei traditionellen Kämpfen seien die Verteidiger stets im Vorteil, das Zahlenverhältnis müsse in den meisten Situationen etwa 3:1 für die Angreifer betragen, um einen Angriff aussichtsreich zu machen. Bei der Cyber-Kriegführung sei dies vollkommen anders. Die Verteidiger müssten stets sämtliche Sicherheitslücken beheben und sämtliche möglichen Zugänge überwachen, während für den oder die Angreifer eine einzige Unachtsamkeit reichen kann, um sich erfolgreich Einlass zu verschaffen. "Ein 14-jähriges pakistanisches Scriptkiddy könnte in der Lage sein, die US Air Force vom Netz zu nehmen und einen Cyber War zu starten," sagte Schumacher. Dies sei nicht nur technisch interessant, sondern habe auch eine wichtige politische Dimension.

Cyber-Angriffe, so Schumacher, seien ebenso wie andere Angriffe durch internationales Recht - konkret durch das Kriegsrecht und das Humanitäre Völkerrecht - geregelt. Die Gesetze seien jedoch im vorigen Jahrhundert entstanden und trügen den neuen technischen Möglichkeiten nicht Rechnung. Allgemein akzeptierte Interpretationen der Gesetze sagten, dass Cyber-Angriffe kein kriegerischer Akt seien und konventionelle Vergeltungsangriffe somit illegal seien, erklärte Schumacher. Zudem liege von juristischer Seite kein Krieg vor, wenn keine Regierung beteiligt sei - dann habe man es mit normaler Kriminalität zu tun.

Schumacher griff kurz den teilweise diskutierten Vorschlag auf, ein Verbreitungsverbot - wie es für Atomwaffen bereits existiert - auch für Cyber-Waffen einzuführen. Dies würde internationale Verträge benötigen und einige Regierungen seien ganz offensichtlich daran interessiert. Schumacher erklärte jedoch, er halte diese Idee für nicht praktikabel. Im Gegensatz zu Atomwaffen, die groß und auffällig seien und strenge Sicherheitsmaßnahmen benötigten, seien Cyber-Waffen - also spezielle Malware, die die Systeme des Gegners ausschalten oder andere destruktive Aufgaben wahrnehmen soll - ungleich einfacher weiterzugeben. Ein USB-Stick, eine DVD oder eine verschlüsselte Datei auf irgendeinem Filehosting-Dienst würden reichen. Somit sei eine strenge Zensur des Internets nötig, um diese Pläne umzusetzen, und selbst dann würden findige Sicherheitsexperten mit an Sicherheit grenzender Wahrscheinlichkeit einen Weg finden, die Kontrollen zu umgehen. Als Deutscher fühlte man sich unweigerlich an das "Hackertool-Gesetz" erinnert. Auch dieses unterband eher die öffentliche Diskussion über derartige Programme als deren tatsächliche Erstellung, Anwendung und Weitergabe, was einen Hinweis darauf gibt, dass Schumachers Einschätzung für sehr realistisch zu halten ist.

Die USA, so berichtete Schumacher, setzen sich momentan dafür ein, den NATO-Vertrag in Bezug auf Cyber-Angriffe zu ändern. Cyber-Angriffe sollen dann ein Grund sein, den Bündnisfall auszurufen und auch auf konventionellem Wege zurückzuschlagen. Diese Pläne hält Schumacher für einen "großen Fehler". Da es bekanntermaßen möglich sei, im Internet seine Identität zu fälschen, könnte sich so ein Verbrecher relativ leicht als Regierung ausgeben und einen Krieg auslösen - oder eine Regierung auf diesem Wege einen Krieg zwischen zwei anderen Staaten hervorrufen. Jeder, der Tom Clancys "Der Anschlag" gelesen oder den Film gesehen hat, wird sich ein solches Szenario leicht vorstellen können.

"Cybercrime ist momentan gefährlicher als Cyber War", so Schumachers kontroverse Einschätzung. Kriegführung im Internet sei momentan ein eher theoretisches Thema, während Kriminelle seit Jahren und mit teils großem Erfolg das Internet unsicher machten. Hier sei internationale Kooperation bei der Bekämpfung gefragt.

Schumacher ließ eine Betrachtung möglicher Angriffsvektoren folgen. Unter anderem erwähnte er den medienwirksamen Schädling Stuxnet. Bei dessen Einsatz handle es sich nach von Clausewitz' Definition nicht um Krieg, da die Wirkung äußerst begrenzt sei, so der Experte. Stuxnet sei zwar technisch interessant, aber in dieser isolierten Form kein Cyberkrieg.

Als wahrscheinliches Angriffsziel nannte Schumacher auch das Stromnetz. Er berichtete, dass in Zukunft sogenannte Smart Grids in Europa eingeführt werden sollen. Dabei handelt es sich laut Wikipedia um  "die kommunikative Vernetzung und Steuerung von Stromerzeugern, Speichern, elektrischer Verbraucher und Netzbetriebsmitteln in Energieübertragungs- und -verteilungsnetzen der Elektrizitätsversorgung. Damit wird eine Überwachung und Optimierung der miteinander verbundenen Bestandteile ermöglicht. Ziel ist die Sicherstellung der Energieversorgung auf Basis eines effizienten und zuverlässigen Systembetriebs." Jeder Haushalt müsste dann über ein sogenanntes "Smart Meter" verfügen. Dadurch könnten Haushalte zentral vom Netz getrennt werden. Dies ist beispielsweise dafür gedacht, Kunden, die ihre Rechnung nicht bezahlen, vom Netz zu trennen. Schumacher erklärte aber, dass diese Funktion sich auch leicht missbrauchen ließe. Würden zahlreiche Haushalte gleichzeitig vom Netz genommen, könnte das plötzliche Absinken der Nachfrage für einen Ausfall des Kraftwerks sorgen. Da die meisten europäischen Kraftwerke vernetzt seien, könnte dies eine Kettenreaktion und großflächige Stromausfälle verursachen. Die Sicherheit dieses Systems, so Schumacher, sei nie detailliert betrachtet worden. Zudem basierten Notfallpläne auf dem Ankauf von russischem Gas und seien somit stark von der politischen Situation abhängig. Das System des Smart Grid, berichtete Schumacher, werde von Lobbyisten mit Profit-Interessen sehr stark vorangetrieben. Dabei bleibe die Sicherheit auf der Strecke. Nicht nur werde die IT-Sicherheit kaum diskutiert, auch würden die Hersteller Smart Meter anbieten, die "aufgeblasen wie Emacs" seien. Dadurch sollen die Geräte, die dann jeder Haushalt kaufen müsste, teurer werden. Diese Problematik, so Schumacher, müsste eigentlich von Politikwissenschaftlern diskutiert werden. Diese seien aber - gerade in Deutschland - oft "technophob", während Hacker und IT-Sicherheitsexperten oftmals kaum an Politik hätten. Schumacher wünschte sich eine bessere Kooperation und Kommunikation, zeigte sich aber skeptisch, ob diese kurzfristig zu erreichen sei.

Auch einen weiteren Angriffsvektor nannte Schumacher: das Militär selbst. Er erzählte, die USA verließen sich auf dem Schlachtfeld zunehmend auf IT. Beim sogenannten "Network Centric Warfare" (NCW) würden verstärkt computergestützte Systeme zur Kommunikation zwischen Soldaten und Kommandanten benutzt. Somit könnten durch einen Cyberangriff militärische Operationen erheblich gestört und die Armee ins Chaos gestürzt werden. Das selbe gelte im übrigen auch für Kampfroboter und die derzeit so beliebten Überwachungsdrohnen. Selbst Autos würden aufgrund der stärkeren Computerisierung zunehmend verwundbar. Schumacher erwähnte auch die Möglichkeit, Trojaner bereits bei der Herstellung von technischen Geräten in deren Software zu verstecken und später - wenn dies politisch angemessen erscheine - zu aktivieren.

Schumacher zog das Fazit, dass der Begriff "Cyber War" übertrieben sei, da man seinen Gegner nicht kampfunfähig machen könne. Allerdings bestehe durchaus ein gewisses Risiko, da die Gesellschaft sich zunehmend auf IT verlasse und internationale Schutz-Strategien fehlten. Cyber-Angriffe, so Schumacher, befänden sich derzeit in einer "experimentellen Phase", ähnlich wie die militärische Nutzung von Flugzeugen zu Beginn des Ersten Weltkriegs. Schumacher stellte sich auf den Standpunkt, dass der Begriff "Cyber War" sogar gefährlich sein könne, da er Angst erzeuge. Dadurch könnten konventionelle Vergeltungsschläge "wie eine gute Idee erscheinen" - mit den zuvor erwähnten negativen Folgen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Mobile Privacy
« Antwort #52 am: 28 November, 2010, 20:33 »
Mobile Devices, insbesondere Smartphones, erfreuen sich momentan immenser Beliebtheit. Es kann jedoch schwierig sein, seine Privatsphäre bei der Nutzung dieser Geräte effektiv zu schützen. Dieses Problems nahm sich der Programmierer und IT-Sicherheitsberater Marco Bonetti in seinem Vortrag an. Er stellte Portierungen des Anonymisierungsdienstes Tor für mobile Geräte vor.

Bonettis Vortrag "Mobile Privacy" behandelte zunächst die allgemeinen Probleme bei der Nutzung von Smartphones. Insgesamt, so erklärte er, sei diese Plattform von zuviel Vertrauen dominiert. Benutzer würden ihrem Gerät vertrauen, der Gerät wiederum dem Provider. Dieses Vertrauen sei jedoch nicht unter allen Umständen angebracht. Zudem sei die Architektur von Smartphones verwundbar. Die Display-Tastatur, bei der sich Sonderzeichen nur in mehreren Schritten zufallen lassen, würde die Eingabe komplizierter Passwörter erschweren. Dies würde Benutzer oft dazu verleiten, einfachere Passwörter zu wählen. Zudem sei es aufgrund der begrenzten Bildschirmgröße und Auflösung oftmals nicht vorgesehen, wichtige Informationen - etwa die Details eines Sicherheitszertifikats - zu überprüfen. Außerdem seien bei Smartphones zahlreiche "Parteien" - Hersteller, Diensteanbieter, App-Programmierer und Endkunde - beteiligt, was die Definition von Zuständigkeiten erschwere und außerdem mehrere Angriffsvektoren eröffne. Zudem würden Daten auf Smartphones normalerweise - von wenigen Ausnahmen wie etwa dem BlackBerry abgesehen - im Klartext gespeichert. Auch die Rechtevergabe lasse zu wünschen übrig und basiere auf dem Motto "alles oder nichts".

Die verwendeten Übertragungsprotokolle, so Bonetti weiter, seien ebenfalls nicht besonders sicher. GSM sei bereits geknackt, bei UMTS sei dies auch nur noch eine Frage der Zeit, Bluetooth sei ohnehin gefährlich und WLAN sei nur bei entsprechender Konfiguration - WPA2-Verschlüsselung - noch sicher. Die Nutzung von Verschlüsselungsverfahren wie SSL sei für die vergleichsweise leistungsschwache Hardware oft eine Herausforderung.

Bonetti betonte, die Kommunikation müsse geschützt werden. Dies sei allerdings aufgrund mangelnder Optimierung schwierig - Telefone seien nun einmal primär für andere Dinge gemacht.

Nach dieser allgemeinen Einführung widmete sich Bonetti dem Thema "Tor auf mobilen Geräten". Der Anonymisierungsdienst Tor dürfte den meisten IT-affinen Menschen ein Begriff sein. Weniger bekannt ist jedoch, dass sich Tor nicht nur auf dem PC oder Laptop einsetzen läßt, sondern in vielen Fällen auch auf dem Smartphone.

Um dies allerdings zu realisieren, müssen die Programmierer derartiger Portierungen einige Hindernisse überwinden. Bonetti berichtete, dass insbesondere die schwache Hardware vieler Smartphones eine Hürde darstelle. Tor sei notorisch RAM-hungrig, woran bereits mehrere Projekte - beispielsweise der Versuch, Tor auf handelsübliche Router zu portieren - gescheitert seien. Daneben neben müsse natürlich auch die Kompatibilität zum jeweiligen Betriebssystem hergestellt werden. Ebenfalls schwierig gestalte sich oftmals die Programmierung einer geeigneten Benutzeroberfläche für die Technologie eines Smartphones, wo beispielsweise nur ein kleiner Bildschirm zur Verfügung steht.

Trotz dieser Herausforderungen läuft Tor bereits auf einer Vielzahl von Geräten. Eher als Nerd-Witz dürfte sich die vorgestellte Tor-Version für "Chumby one", einen auf ARM und Linux basierenden Wecker (!) erweisen. Daneben kann Tor aber auch auf zahlreichen verbreiteten Telefonen benutzt werden. So habe sich der Port auf das Nokia N900 aufgrund der guten Hardware einfach gestaltet, berichtete Bonetti. Auch für Android gebe es einen Port namens "Orbot" - es handle sich dabei sogar um den bisher besten Tor-Port im Reich der mobilen Geräte.

Spezielle Aufmerksamkeit widmete Bonetti den "iDevices", also unter Apples iOS laufenden Geräten wie dem iPhone und iPad. Für diese stellte er kürzlich selbst einen Tor-Port fertig, nachdem ein älterer Port aus unbekannten Gründen mitsamt dem Autor in der Versenkung verschwand. Bonetti berichtete, das iPhone verfüge über eine vergleichsweise leistungsstarke Hardware, was bei seinen Bemühungen geholfen habe. Allerdings funktioniert sein Port nur auf iPhones, bei denen zuvor ein Jailbreak durchgeführt wurde. Auf Nachfrage erklärte der Programmierer, er entwickle seine Software unter Linux, während das von Apple verteilte "Entwickler-Paket" nur unter Mac OS funktioniere. Zudem würden im App Store strenge Regeln gelten - beispielsweise dürfe kein Daemon laufen und auch die von einer App genutzte Bandbreite sei limitiert -, die bei einem Tor-Client nur schwer umzusetzen seien. Eine Portierung in den App Store sei zwar technisch möglich, aber momentan aufgrund der großen Hindernisse nicht geplant. Vielmehr plane man momentan eine Verbesserung der Benutzeroberfläche. Zudem sei der Browser Safari Mobile ein Risiko für die Privatsphäre, da er über keinen richtigen "Inkognito-Modus" verfüge. Bonetti und sein Team wollen daher einen alternativen, besser für diesen Zweck geeigneten Browser entwickeln.

Durch die vorgestellten Tor-Clients können die Nutzer mobiler Geräte ihre Privatsphäre zumindest beim Hoch- oder Herunterladen sensibler Daten schützen. Allerdings, so Bonetti, gebe es zwei grundlegende Einschränkungen bei dieser Nutzung von Tor. Die eine sei das bereits erwähnte Fehlen eines sicheren Browsers, ein Problem, das die Programmierer allerdings wie erwähnt versuchen wollen zu beheben. Die zweite Einschränkung ist die Tatsache, dass die Tor-Nutzung aufgrund der ständigen Hardware-Auslastung die Batterie mobiler Geräte äußerst schnell entlädt. Bei einigen Verwendungszwecken dürften die Nutzer das jedoch für ihre Privatsphäre gern in Kauf nehmen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Security Awareness
« Antwort #53 am: 30 November, 2010, 16:12 »
Den "Night Talk" am Abend des ersten Vortragstages der IT-Sicherheitskonferenz DeepSec übernahm außerplanmäßig Stefan Schumacher. Dieser führt als Sicherheitsberater unter Anderem sogenannte "Security Awareness Campaigns" durch, die Nutzer für die Sicherheit sensibilisieren sollen. Dies machte er auch zum Thema seines Vortrags.

Bei den von Schumacher durchgeführten Weiterbildungsmaßnahmen werden die Mitarbeiter über IT-Sicherheit geschult. Um dies sinnvoll zu vermitteln, so Schumacher, spielten die verschiedensten Fachgebiete - er nannte Projekt Management, Psychologie, Sozialwissenschaften und Erziehungswissenschaften - eine Rolle. Daneben müssen die Berater natürlich auch über gutes technisches Fachwissen verfügen.

Obwohl derartige Schulungen immer an den speziellen Betrieb angepasst sein müssten, gebe es einige Grundsätze, die auf quasi jeden Betrieb zuträfen. Es habe sich herausgestellt, so Schumacher, dass es nicht funktioniere, nur einige Vorgesetzte zum Thema IT-Sicherheit zu schulen und zu hoffen, dass diese sinnvolle Verhaltensweisen an die Kollegen weitergeben. Dieses sogenannte "Champion-Modell" habe sich in der Vergangenheit als ineffektiv erwiesen. Es sei aber dringend notwendig, dass das Management in entsprechende Maßnahmen einbezogen werde und sich an die Regeln halte. Dann nämlich könnte die Vorbildfunktion der Vorgesetzten durchaus einen positiven Effekt haben.

Eine der Schwierigkeiten, so Schumacher, sei es, dass die IT-Abteilung eines Unternehmens für die konsequente Umsetzung sinnvoller Sicherheitsregeln mit allen anderen Abteilungen zusammenarbeiten müsse. Häufig seien aber diese eher technisch interessierten und ausgebildeten Mitarbeiter nicht besonders kommunikativ, so dass es sich schwierig gestalte, eine derartige Kooperation zu erreichen.

Schumacher erklärte, um Inhalte - darunter auch die angesprochenen Sicherheitsregeln - gut vermitteln zu können, müsse man berücksichtigen, dass Menschen mit unterschiedlichem Hintergrund die Realität auch unterschiedlich wahrnehmen. Diese sogenannte "gefühlte" Realität mache es oftmals schwer, menschliches Verhalten vorauszusagen. Somit könnten auch mögliche Fehlerquellen bei bestimmten technischen Maßnahmen teilweise nur schwer im Voraus erkannt werden. Zudem hätten Techniker und die Mitarbeiter anderer Abteilungen oftmals eine sehr unterschiedliche Sicht der Dinge. Es herrsche ein Interessenkonflikt: die Admins wollen primär ein hohes Sicherheitsniveau, die Nutzer wollen möglichst bequem und effizient ihre Arbeit erledigen können. Schumacher sagte, es gebe allerdings Strategien, um diese Problematik zu überwinden. Es müsse viel kommuniziert werden, man müsse versuchen, sich in die Lage der Anderen zu versetzen ("Empathie") und es sollten gemeinsame Ziele - insbesondere der Erfolg des Projekts oder Unternehmens - betont werden.

Anschließend sprach Schumacher über den Aufbau einer erfolgreichen "Security Awareness Campaign". Als Erstes, so der Experte, müsse man die Benutzer motivieren, sich für Sicherheit zu interessieren, denn ohne Motivation könne es auch keinen Lernerfolg geben. Schumacher sprach in diesem Zusammenhang kurz über verschiedene Formen der Motivation und darüber, wie sich diese am besten nutzen lassen. So sei die sogenannte intrinsische Motivation, die aus den eigenen Zielen und Wünschen einer Person entsteht, verlässlicher als die durch äußere Faktoren - wie Belohnungen - hervorgerufene extrinsische Motivation. In jedem Fall, so Schumacher, sei für die Motivation der Mitarbeiter eine optimale Kommunikation erforderlich. Zudem dürfe man nicht vergessen, dass ein Lernerfolg stets eine gewisse Zeit in Anspruch nehme, insbesondere, wenn bereits verinnerlichte Verhaltensweisen geändert werden müssten.

Neben der Motivation muss jemand, der eine erfolgreiche Sicherheits-Schulung durchführen will, sich laut Schumacher bemühen, den Blickwinkel des Benutzers einzunehmen. So lassen sich Probleme leichter identifizieren und die Benutzer bekommen das Gefühl, dass ihre Sorgen und Wünsche ernst genommen werden. Daher sollte man sich auch bemühen, prägnante Beispiele aus dem realen Leben zu verwenden. Dadurch lassen sich Erklärungen leichter nachvollziehen als wenn diese auf eine rein wissenschaftliche und womöglich realitätsferne Art vermittelt werden.

Den Benutzern müsse vermittelt werden, dass "ihr System wichtig ist und Fehler ernsthaften Schaden anrichten können", erklärte Schumacher. Allerdings müsse man dann auch sinnvolle Handlungsanweisungen geben und den Benutzern klarmachen, wie sie derartige Fehler vermeiden könnten. Fühlen sich die Mitarbeiter nämlich permanent unsicher, werden sie leichter zu manipulieren und damit beispielsweise zu leichten Opfern von Social-Engineering-Kampagnen.

Schumacher betonte daher die Wichtigkeit der Entwicklung sogenannter "Security Guidelines", also verbindlicher und detaillierter Sicherheitsregeln. Diese müssten "präzise und gut erklärt" sein und es müssten klare strategische Ziele definiert werden. Es müssten zudem klare Zuständigkeiten definiert werden und die Mitarbeiter müssten einen Ansprechpartner für ihre Fragen, Probleme und Anregungen haben.

Bei all diesen Maßnahmen sieht Schumacher, wie er erklärte, vor allem ein Problem - eines, das heutzutage vielen Menschen bekannt vorkommen dürfte: Geisteswissenschaftler seien oftmals nicht an Technik interessiert, so dass die sinnvolle Vermittlung technischer Sachverhalte nur unzureichend dokumentiert und erforscht sei. Er hoffe, so der Experte, dass sich dies in Zukunft ändern wird.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Die Zukunft des Social Engineering
« Antwort #54 am: 30 November, 2010, 23:27 »
Auf der IT-Sicherheitskonferenz DeepSec hielt Sharon Conheady, deren Unternehmen "First Defence Information Security" Trainings und Auditing zum Thema Social Engineering durchführt, einen Vortrag unter dem Titel "The Future of Social Engineering". Dabei ging sie insbesondere auf die zunehmend größere Rolle Sozialer Netzwerke beim Social Engineering ein.

Um den Bogen zur Zukunft des Social Engineering zu schlagen, begann Conheady mit der Vergangenheit. Sie berichtete, Social Engineering gebe es schon "seit Ewigkeiten". Der Ausdruck selbst allerdings entstand erst im Zuge der industriellen Revolution. Zunächst war damit die Anpassung sozialer Gegebenheiten zum eigenen Vorteil - idealerweise zum Vorteil der Allgemeinheit - gemeint, eine Verwendung des Begriffs, die in der Sozialwissenschaft bis heute zu finden ist. In den 1990er Jahren kam jedoch eine zweite Bedeutung hinzu: das Eindringen in IT-Systeme durch Manipulation der damit betrauten Menschen. Mit dieser Form des Social Engineering befasst sich auch Conheady bei ihrer beruflichen Tätigkeit (gulli:News berichtete).

Conheady brachte einige Beispiele für Social-Engineering-Angriffe, die ohne Computer auskommen. So habe es mehrere Personen gegeben, die sich jahrelang erfolgreich als Piloten bei kommerziellen Fluglinien ausgaben. Die Expertin bemerkte, dass dieser Trick durch das Internet sogar erleichtert würde: war es früher äußerst schwierig, die passende Uniform für diese Rolle zu finden, kann man diese mittlerweile - wenn auch für teures Geld - auf eBay kaufen.

Die erste Person, die das Social Engineering in großem Stil in der IT-Welt einführte, sei in den 1990er Jahren der US-Amerikaner Kevin Mitnick alias "Condor" gewesen, berichtete Conheady. Dieser schrieb zum Thema auch das recht bekannte Buch "The Art of Deception" ("Die Kunst der Täuschung").

Conheady nannte einige gängige Taktiken, mit denen Social-Engineering-Spezialisten ihre Opfer zu täuschen versuchen. Eine davon ist es, eine Autoritätsperson - sei es einen Vorgesetzten, jemanden mit viel sozialem Prestige oder auch den Netzwerk-Admin, der in IT-Dingen das Sagen hat - darzustellen. Viele Menschen hinterfragen dann auch merkwürdig oder riskant wirkende Anweisungen nicht, entweder aus Vertrauen in die Kompetenz der besagten Person oder auch aus Furcht vor negativen Konsequenzen.

Die zweite von Conheady genannte Taktik ist die Bezugnahme auf aktuelle Ereignisse. Jeder dürfte beispielsweise Spam- und Phishing-Mails kennen, die mit Schlagzeilen über politische Ereignisse, angesagte Gadgets, Naturkatastrophen oder Prominente das Interesse der Nutzer auf sich lenken wollen. Auch in anderen Kontexten findet diese Taktik teilweise Verwendung.

Auch eine weitere Taktik findet laut Conheady immer wieder Verwendung: dem Opfer wird ein dermaßen attraktives Geschäft angeboten, dass er die Vorsicht schnell außer acht läßt. Sei es nun der bekannte Nigeria-Scam mit seiner angeblichen reichen Belohnung oder die reihenweise verbreiteten supergünstigen iPhone- und iPad-Angebote der Cyberkriminellen.

Ein weiterer Faktor hilft den "Social Engineers" laut Conheady oftmals, unentdeckt zu bleiben: vielen Opfern ist es so peinlich, auf ein derartiges Schema hereingefallen zu sein, dass sie nicht zur Polizei gehen. Auch in der Unternehmenswelt werden derartige Vorfälle gern totgeschwiegen. Das hat natürlich den Nachteil, dass die Täter nicht gefasst und potentielle weitere Opfer nicht gewarnt werden - ein großer Vorteil für die Angreifer.

Conheady erklärte, dass es oftmals erfolgreich sei, über einen Umweg die eigentliche Zielperson anzugreifen: indem man zunächst deren Freunde ins Visier nimmt. Von diesen lassen sich oftmals wertvolle Informationen gewinnen, die die Erfolgschance eines Angriffs erhöhen. Eine Alternative ist es, beispielsweise den Account eines Freundes im Instant Messenger oder Sozialen Netzwerk zu übernehmen und somit aus einer Position der scheinbaren Vertrauenswürdigkeit aus zu handeln. Diese Taktik, so Conheady, sei seit etwa zehn Jahren unter Online-Kriminellen verstärkt zu beobachten.

Ebenfalls ein Faktor erfolgreicher Social-Engineering-Kampagnen sei es, bei den Opfern Emotionen hervorzurufen, so Conheady. Sei es nun Mitleid mit angeblich Benachteiligten, Wut über unfaire Handlungsweisen in Politik oder Wirtschaft oder die Freude über gute Nachrichten vom Lieblings-Star - emotionale Nachrichten erhöhen die Erfolgschancen eines Social-Engineering-Angriffs erheblich.

Soziale Netzwerke entwickeln sich zunehmend zu einem wertvollen Hilfsmittel beim Social Engineering. Conheady erklärte daher, wie sich in diesen Communities eine erfolgreiche Recherche durchführen läßt, an deren Ende man äußerst wertvolle Informationen über das potentielle Opfer hat. Sie erklärte, dass die Angreifer oftmals beim business-orientierten Netzwerk LinkedIn beginnen. Dort lasse sich beispielsweise die Unternehmensstruktur erforschen, die man dann benutzen könnte, um sich eine glaubwürdige "Legende" zu verschaffen. Anschließend könne man sich mit einem gefälschten Profil in das soziale Umfeld des Unternehmens einbringen und weitere Informationen sammeln. Dabei würden Personen identifiziert, bei denen eine weitere Recherche - etwa in anderen sozialen Netzwerken wie Facebook - lohnend sei. Sehr nützlich, so Conheady, seien auch kleine Umfragen oder Steckbriefe, die die Benutzer ausfüllen können. Dort ließen sich Vorlieben, Abneigungen und Interessen erkennen, die kreativen Angreifern viele Möglichkeiten für eine gezielte Manipulation bieten. Auch Geotagging-Features wie Facebook Places oder Twitters neuer Location-Dienst seien für Verbrecher oft hilfreich. Mit ihrer Hilfe ließe sich beispielsweise herausfinden, wann ein Haus leer stehe und man somit dort einbrechen könne. Eine andere Möglichkeit sei, die Zielperson gezielt in der Öffentlichkeit anzusprechen oder sogar zu überfallen.

Passend zum Thema des Vortrags beschrieb Conheady natürlich auch, wie ihrer Meinung nach die Zukunft des Social Engineering aussieht. Sie erklärte, wie bereits in der Vergangenheit werde auch zukünftig der Grundsatz "dieselben Tricks, neue Technologie" gelten - während sich die verwendeten Technologien und Medien ändern, bleiben die zugrunde liegenden psychologischen Tricks seit Jahrhunderten gleich. Daran wird sich laut Conheady auch zukünftig nichts ändern. An den Technologien allerdings wird sich einiges ändern, so die Expertin. So vermutet sie insbesondere, wie bereits angedeutet, eine verstärkte Nutzung sozialer Netzwerke sowohl zur Recherche als auch zur Durchführung der eigentlichen Angriffe. Ganz allgemein werde zukündtig mehr Technologie zur Verfügung stehen, um Angriffe zu verbessern und zu automatisieren, prophezeihte Conheady.

Insgesamt, so vermutet Conheady, werden die Angriffe in diesem Bereich wesentlich ausgeklügelter, komplexer und gezielter werden. Dies deckt sich mit Trends in anderen Bereichen der IT-Sicherheit, in denen ebenfalls gezielte Attacken ein zunehmendes Problem darstellen.

Ebenfalls an den Rest der Cybercrime-Szene erinnert der letzte von Conheady genannte Trend: Social-Engineering-Angriffe werden zukünftig nach Einschätzung der Expertin zunehmend von Spezialisten als Dienstleistung angeboten werden. "Social Engineering as a Service" hätte beispielsweise den Vorteil, dass derartige Gruppen Personen für die verschiedensten Rollen beschäftigen können, die beispielsweise bestimmte Fremdsprachen sprechen. Auch in anderen Bereichen der Cybercrime-Szene ist eine zunehmende Spezialisierung und Professionalisierung zu beobachten.

Es wird sich zeigen, ob sich die von Conheady aufgestellten Prognosen in dieser Form bewahrheiten. Eines jedoch kann wohl als sicher gelten: in der einen oder anderen Form wird das Social Engineering den Internetnutzern - und wohl nicht nur diesen - sicher erhalten bleiben.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Verbindungen zwischen Cyberwar und Cybercrime
« Antwort #55 am: 01 Dezember, 2010, 23:41 »
Der Vortrag des israelischen Programmierers und IT-Sicherheitsexperten Ian (Iftach) Amit auf der Sicherheitskonferenz DeepSec stand unter dem Titel "Cyber[Crime—War] - Connecting the dots". Tatsächlich befasste sich Amit detailliert mit den Zusammenhängen zwischen staatlichen Cyberwaffen und "normaler" Online-Kriminalität.

Er wolle "keinen FUD-Vortrag" halten, betonte Amit gleich zu Anfang. Dieser Ankündigung wurde er durch kritische Hinterfragung gängiger Schreckensszenarien zum Cyberwar auch weitgehend gerecht, und doch waren einige der von ihm präsentierten Forschungsergebnisse durchaus besorgniserregend.

Seine Forschungen zum Thema begann Amit, nachdem er entdeckte, dass mehrfach militärisches Material auf den Servern cyberkrimineller Organisationen auftauchte. Dies widersprach dem üblichen, profit-orientierten Vorgehen der Online-Kriminellen massiv, so dass der Sicherheitsforscher beschloss, die Hintergründe näher zu untersuchen.

Seine Erklärungen begann Amit mit einer Erläuterung der Begriffe Cybercrime und Cyberwar. Der Unterschied, so der Experte, liege allein beim Kontext - sind staatliche Stellen involviert und dienen die Angriffe einem strategischen Ziel, oder ist dies nicht der Fall? Viele Methoden seien in beiden Bereichen anzutreffen, erklärte Amit - und es gebe auch durchaus Personen, die in beiden Bereichen aktiv seien.

Amit, der unter anderem für die israelische Armee arbeitet, betonte, dass ein Cyberwar durchaus eine ernstzunehmende Bedrohung auch für Zivilisten darstellen könnte. Insbesondere bei Angriffen auf die kritische Infrastruktur seien sogenannte "Kollateralschäden" durchaus denkbar.

Der Sicherheitsforscher sprach danach über die Cyberwar-Bemühungen einiger ausgewählter Länder, darunter der USA, China und Russland. Er bemerkte, dass die USA ihre diesbezüglichen Aktivitäten hervorragend dokumentierten, häufig Übungen wie "Cyber Storm" durchführten und außerdem momentan massiv um die Rekrutierung neuer Mitarbeiter in diesem Bereich bemüht seien. In Russland dagegen gehe es in Bezug auf die Cyber-Kriegführung eher chaotisch zu, es seien viele Organisationen involviert und oftmals keine klare Strategie erkennbar. Eine Besonderheit Russlands seien die "National Youth Associations" ("Nashi"), die ihre Anweisungen direkt von der politischen Elite bekämen. Erstaunlich weit in Sachen Cyberwar ist nach Amits Ansicht der Iran. Dessen Infrastruktur sei in den letzten Jahren rasant verbessert worden. Allerdings fehle es an einer guten Dokumentation und viele Informationen seien geheim, so dass sich nicht über alle Einzelheiten gesicherte Aussagen treffen ließen. In Israel, berichtete Amit, sei eine Besonderheit, dass ein Großteil des Personals in der Armee selbst ausgebildet werde. Aufgrund der zwei- bis dreijährigen Wehrpflicht könne man viele talentierte junge Menschen in den entsprechenden Fachgebieten schulen. Zudem hätten in Israel sämtliche verschiedenen Waffengattungen und Geheimdienste eigene Abteilungen für den Cyberkrieg.

Es folgte eine kurze Einführung in die Führung von Cyberangriffen und die Verteidigung dagegen. Die Angriffe, so Amit, seien stets "höchst selektiv" und auf militärische Ressourcen oder kritische Einrichtungen gezielt. Die Verteidigung gestalte sich äußerst schwierig, da auch zivile Ressourcen gefährdet seien. Es sei dabei auch eine legitime Verteidigungstaktik, das Internet oder bestimmte Ressourcen darin für Zivilisten unzugänglich zu machen, um sie besser schützen zu können, so die Ansicht des Experten.

Anschließend erläuterte Amit das Vorgehen der Cyberkriminellen detaillierter. Die dortigen Gruppen würden äußerst effizient und profit-orientiert arbeiten. Die meisten Angriffe seien ungezielt ("Carpet Bombing"), es gebe allerdings auch gezielte Angriffe, insbesondere auf Wirtschaftsunternehmen. Die Online-Kriminellen hätten mittlerweile recht hochentwickelte Methoden entwickelt, Verteidigungsmaßnahmen zu umgehen, wie etwa selbst kompilierte und stets leicht veränderte Binaries - etwa beim bekannten Computerschädling ZeuS - und die Verwendung nicht überwachter oder verschlüsselter Ports wie Port 80, 443 und 53.

In Bezug auf den Cyberkrieg nannte Amit als eine Unterkategorie den sogenannten "Hacktivismus", also politisch motivierte Cyber-Angriffe durch Einzelpersonen oder zivile Gruppen. Viele Cyber-Angriffe, so Amit, gingen daher von zivilen Netzen aus. Allerdings sei es nicht immer so einfach, private und staatliche Aktivitäten zu trennen. In Russland gebe es beispielsweise eindeutige Verbindungen zwischen bekannten Cybercrime-Hostern und der Regierung. So hätten diese Hosting-Firmen gleichzeitig unerwünschte politische und News-Websites lahmgelegt und "normales Cybercrime-Zeug" durchgeführt. Dies ergibt interessante technische Möglichkeiten. So ist Amit etwa der Ansicht, dass der erfolgreiche Angriff der Hacktivisten-Gruppe "Iranian Cyber Army" auf den beliebten Microblogging-Dienst Twitter nicht allein demonstrativen Charakter gehabt hätte. Vielmehr, so der Sicherheitsforscher, habe man damit die Medien beschäftigt halten wollen. Am selben Tag nämlich habe der Iran eine Ölquelle im Irak annektiert - was aber dank des spektakulären Angriffs auf Twitter kaum Medienpräsenz erfuhr. Allgemein sei es wichtig, Cyber-Angriffe und sonstige kriegerische Handlungen zueinander in Beziehung zu setzen, um den richtigen Kontext zu erhalten, betonte Amit.

Für die Zukunft prophezeihte Amit, dass zahlreiche billige Geräte massenhaft in armen Ländern verteilt werden könnten. Da dort oft das Know-How fehlt, könnten sich diese Geräte als leichte Beute für Cyberkriminelle und Cyberkrieger erweisen. Daneben deutete Amit an, dass es noch effektivere Tools, "Internet-Massenvernichtungswaffen", geben könnte.

Um die Bedrohung durch Cyberwar und Cybercrime unter Kontrolle zu bekommen, sei ein vorgeschlagenes "Cyberwar-Abkommen", das konventionelle Gegenschläge bei Cyber-Angriffen erlaubt, "eine gute Idee", sagte Amit. Er begründete das damit, dass dies als Abschreckung dienen würde. Zudem würden die Staaten so motiviert, ihre Systeme besser abzusichern. Die Kritik, dass dies aufgrund der schlechten Zurückverfolgbarkeit von Angriffen problematisch sei, wies Amit zurück. Die Staaten würden den politischen Kontext kennen, so der Experte. Zudem könnten gut abgesicherte Netze nicht ohne weiteres als "Relais" für Cyber-Angriffe verwendet werden.

Zunächst jedoch, meinte Amit, müsse man sich des Cybercrime-Problems annehmen. Diese Form der Kriminalität erlebe aufgrund fehlender Gesetze und schlechter internationaler Kooperation derzeit einen Boom. Dies müsse man vor dem Abschließen von Cyberwar-Verträgen beheben.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Malware in Multimedia-Dateien
« Antwort #56 am: 03 Dezember, 2010, 00:38 »
Der Vortrag des IT-Sicherheitsberaters Dr. Alexandr Yampolskiy auf der IT-Sicherheitskonferenz DeepSec stand unter dem Titel "Malware goes to the Movies". Dahinter verbarg sich eine detaillierte Betrachtung der Taktik, Computerschädlinge über manipulierte Multimedia-Dateien - häufig Videos - zu verbreiten.

Yampolskiy begann seinen Vortrag mit der Erklärung, wieso ausgerechnet Multimedia-Content von Cyberkriminellen so gerne zur Malware-Verbreitung genutzt wird. Er erklärte, Downloads von Musik und Videos - sowohl legal als auch illegal - seien momentan extrem beliebt. Auch das Austauschen von Bildern über das Internet ist nach wie vor populär. Schnelle Leitungen mit hoher Bandbreiten erlauben es, derartige Dateien in großen Mengen zur Verfügung zu stellen oder zu konsumieren. Dadurch bietet sich Cyberkriminellen ein höchst attraktives "Jagdrevier". Zudem seien viele Menschen der Ansicht, dass derartige Dateien - im Gegensatz zu ausführbaren Dateien wie Spielen oder Bildschirmschonern - relativ sicher sind. Selbst unter Menschen, die über Kenntnisse im Bereich IT-Sicherheit verfügen, sei diese Ansicht recht verbreitet, berichtete Yampolskiy. Dadurch werde entsprechenden Dateien eher vertraut, was die Erfolgschancen der Angreifer natürlich erhöhe.

Es folgte eine Zusammenfassung der aktuellen Situation im Bereich "Multimedia-Malware". In den meisten Fällen handele es sich um ungezielte Attacken, sagte Yampolskiy. Per Social Engineering oder über Suchmaschinen würden die manipulierten Dateien massenhaft verbreitet in der Hoffnung, auf genug vertrauensselige Opfer zu stoßen.

Die Malware, so Yampolskiy, verberge sich zur Hälfte in Video-Dateien. 30% seien in Musik untergebracht, während die anderen 20% auf Bilddateien entfielen. Besonders häufige Quellen für derart verseuchte Dateien seien Soziale Netzwerke und Peer-to-Peer-Tauschbörsen, aber auch extra zu diesem Zweck angefertigte Imitationen von News-Portalen. Insbesondere Soziale Netzwerke seien populär, da dort häufig mit größerem Vertrauen der Opfer zu rechnen sei. Yampolskiy berichtete von einer Studie des IT-Sicherheitsunternehmens Kaspersky, die zu dem Ergebnis kam, dass infizierte Dateien in Sozialen Netzwerken bei 10% der Nutzer erfolgreich den Rechner infizieren. Verschickt man derartige Dateien beispielsweise als E-Mail-Anhang, liegt die Erfolgsquote bei lediglich 1%.

Inhalt der Videos seien - neben beliebten Songs und Filmen - häufig aktuelle Ereignisse, sagte Yampolskiy. So seien beispielsweise Naturkatastrophen, Todesfälle Prominenter oder auch Wahlen und andere wichtige politische Ereignisse beliebt.

Bei Kinofilmen sei die Quote verseuchter Dateien oftmals vor dem DVD-Start des Films am höchsten, berichtete der Experte. Dann seien teilweise bis zu 90% der im Umlauf befindlichen Kopien mit Malware infiziert. Nach dem Verkaufsstart der DVD und somit dem Anstieg sauberer Kopien gehe die Quote dann stark zurück.

Anschließend beleuchtete Yampolskiy exemplarisch einige Angriffsvektoren. Als besonders angreifbar nannte er Microsofts Musik- und Video-Formate. So sei beispielsweise der Befehl "URLANDEXIT" in Microsofts ASF-Videos äußerst angreifbar. Der Befehl dient dazu, Zusatz-Content im Webbrowser zu öffnen. Es liegt auf der Hand, dass dieser Content auch bösartiger Natur sein kann.

Auch das im Format vorgesehene DRM, so Yampolskiy, lasse sich für Angriffe nutzen. DRM verlangt eine umfangreiche Kommunikation zwischen Client und Server. Verwenden die Cyberkriminellen nun einen eigenen Server als Lizenz-Server - was technisch ohne weiteres möglich ist - können sie von dort Schadcode nachladen. Beispielsweise könnte auch ein Pop-Up-Fenster mit einem Link auf angeblich notwendige Zertifikate oder Codecs - die in Wirklichkeit Malware enthalten - oder einer angeblichen Lizenzvereinbarung, die der Benutzer bestätigen muss, erscheinen.

Daneben spielen natürlich noch weitere Tricks eine Rolle. So werden ausführbare Dateien häufig umbenannt und somit als Video getarnt - je nach Einstellungen ist eine Datei mit der Endung ".avi.exe" nicht auf den ersten Blick als ausführbare Datei zu erkennen. Ebenfalls nach wie vor aktuell und beliebt ist der "Codec-Trick": ein Video verlangt vom Benutzer die Installation eines Codecs, der sich dann als Trojaner herausstellt. Gemeinsam haben sämtliche Kampagnen laut Yampolskiy eine Social-Engineering-Komponente, denn der Benutzer muss für einen erfolgreichen Angriff auf jeden Fall dazu gebracht werden, das manipulierte Video herunterladen und abzuspielen.

Angriffe über manipulierte Bilddateien sind dagegen meist passiver Natur, das heißt, es reicht aus, wenn der Benutzer die Seite mit dem Bild ansurft. Yampoksiy erklärte, dass hierbei meist Browser-Schwachstellen ausgenutzt werden.

Ebenso wie zum Download angebotene Multimedia-Dateien sind aber auch auf Websites eingebettete Videos nicht immer harmlos. Zwar kann bei großen Seiten wie YouTube von einem guten Sicherheitsniveau ausgegangen werden, da diese genau überprüfen, was hochgeladen wird. Nicht immer ist jedoch YouTube drin, wenn ein Video nach YouTube aussieht. Yampolskiy berichtete von einer ganzen Reihe im Netz befindlicher YouTube-Klone, die der Verbreitung von Malware dienen. Entsprechende Tools seien mittlerweile problemlos auf dem Schwarzmarkt zu bekommen. Einer der Angriffswege hierbei sei die verwendete Programmiersprache Flash, so der Sicherheitsexperte - immerhin habe die Firma Adobe in letzter Zeit eine äußerst schlechte Sicherheitsbilanz aufzuweisen. Daneben kommen auch hier häufig Varianten des Codec-Tricks zum Einsatz. Häufig werden sogar je nach Betriebssystem verschiedene Malware-Typen installiert. Yampolskiy äußerte die Einschätzung, dass derartige Seiten, wenn sie gut gemacht sind, sehr erfolgreich sein können.

Wie aber kann man derartige Malware erkennen und sich idealerweise auch dafür schützen? Yampolskiy nannte hierzu einige Maßnahmen. So sei es häufig eine gute Idee, nicht benötigte Funktionalität - insbesondere "URLANDEXIT" - im Mediaplayer oder direkt in der Windows-Registry zu deaktivieren. Daneben könne man auch Tools zur Überprüfung von Bild- oder Videodateien auf Schadsoftware herunterladen. Am wichtigsten sei aber, die Tricks der Cyberkriminellen zu kennen und entsprechend vorsichtig zu handeln. Die meisten der vorgestellten Attacken funktionieren nämlich nur, wenn der Benutzer aktiv dazu beiträgt. Für Unternehmen hieße dies auch, Mitarbeiter entsprechend zu schulen, erklärte Yampolskiy. Für wenig hilfreich hält der Sicherheitsexperte dagegen den gut gemeinten Ratschlag, "fragwürdigen" Websites fernzubleiben. Oftmals machen die betreffenden Seiten nämlich einen durchaus seriösen Eindruck, oder es werden gleich legitime Seiten wie Social Networks für die Verbreitung genutzt. Ebenso könne der Umstieg auf einen anderen Mediaplayer als den von Windows mitgelieferten nicht unbedingt helfen. Dieser mache nur dann einen Unterschied, wenn nicht - wie mittlerweile häufig der Fall - der komplette ASF-Stack installiert sei, so Yampolskiy.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Baseband-Sicherheit
« Antwort #57 am: 06 Dezember, 2010, 20:01 »
Eines der Hauptthemen der diesjährigen DeepSec war das Thema "Mobile Security". Damit befasste sich auch Ralf-Philip Weinman, der unter dem Titel "All Your Baseband Are Belong To Us" einen Einblick in die diversen Sicherheitslücken von GSM, UMTS und auch den diversen Smartphone-Implementierungen gab.

Weinman begann mit einer Einführung in die relevanten Teile der Mobilfunk-Infrastruktur. Die relevanten Teile für eine Betrachtung der Sicherheitsaspekte seien das Mobiltelefon selbst, der verwendete Mobilfunkmast (Basisstation) sowie dessen Verbindung mit "der Welt", so der Sicherheitsexperte. Der interessanteste Angriff sei dabei, so zu tun, als sei man eine Basisstation, und dadurch die vom Mobiltelefon gesendeten Daten mitlesen zu können oder dem Telefon seinerseits manipulierte Daten zu schicken.

Dazu muss man zunächst einmal den Aufbau der Verbindung zwischen Mobiltelefon und Basisstation näher kennen. Dieses sogenannte UM- oder Air-Interface wird - im Gegensatz zum klassischen OSI-Schichtenmodell - in drei Schichten oder "Layer" eingeteilt. Die "interessanten Angriffe", so Weinman, finden auf Layer drei statt. Dieser wird als "physical" Layer bezeichnet; dort findet die technische Datenübertragung statt. Zur genaueren Einteilung, so Weinman, könne dieser Layer wiederum in drei Sub-Layers unterteilt werden.

Es folgte ein Exkurs zu der Motivation eines Angreifers dafür, sich ein Smartphone vorzunehmen. Smartphones, so Weinman, seien für Cyberkriminelle attraktive Ziele. Sie seien momentan äußerst beliebt, was eine lohnende Anzahl potentieller Opfer verspricht. Ihre Nutzer seien oft wohlhabend und einflussreich. Zudem gebe es bei diesen Geräten nur eine begrenzte Anzahl möglicher Hardware- und Software-Versionen, was es einfacher macht, in größerem Stil Angriffe durchzuführen.

Smartphones, erklärte Weinman, seien aus der Verbindung von Mobiltelefonen und PDAs entstanden und hätten PDAs weitgehend ersetzt. Die Geräte weisen eine Multi-CPU-Architektur auf: sie verfügen über einen "Application Processor" und einen "Digital Baseband Processor". Je nach Preis- und Leistungskategorie verfügen diese beiden Prozessoren über separaten oder gemeinsam genutzten Arbeitsspeicher. Weinman bemerkte, dass die Forschung im Bereich des Baseband-Prozessors "lange Zeit missachtet" worden sei. Dementsprechend weise dieser Teil der Architektur ernsthafte Sicherheitslücken auf. Populäre Hersteller dieser CPUs seien vor allem Quallcom (iPhone) und Infineon (viele Android-Geräte).

Die Verbindung aus unzureichend abgesicherten Geräten und einem in Sicherheits-Hinsicht veralteten Übertragungsprotokoll bietet Angreifern interessante Möglichkeiten. Die Codebasis für das Mobilfunk-Baseband sei in den 1990ern geschrieben worden - "mit einer 1990er-Einstellung zur Sicherheit", berichtete Weinman. Sämtliche im Netz befindlichen Einheiten würden als vertrauenswürdig angesehen. Sowohl GSM als auch UMTS böten zahlreiche Angriffsvektoren. Zudem gebe es fast keine Sicherheitsvorkehrungen gegen die Ausnutzung von Software-Schwachstellen.

Anschließend berichtete Weinman über mögliche Angriffsszenarien. Er erklärte, nur Layer drei habe die nötige Nachrichtenlänge, um eine "Payload" - also den eigentlichen Exploit-Code - dort unterzubringen. Deswegen fänden praktisch alle Angriffe dort statt. Allerdings werde in letzter Zeit auch der GPRS-Layer zunehmend unter Beschuss genommen. Eine Schwierigkeit sei es, Sicherheitslücken zu finden. Das sogenannte Fuzzing, also das Einspeisen willkürlicher Daten, bis es zu einem Absturz oder anderem unerwarteten Verhalten kommt, habe sich in der Praxis aufgrund unzureichender Diagnose-Möglichkeiten als nicht besonders effektiv erwiesen. Teilweise komme man über den Quellcode der Anwendungen weiter, sagte Weinman. Dieser sei zwar meist nicht öffentlich verfügbar, könne teilweise aber mit den richtigen Kontakten in Untergrund-Communities gefunden werden. In den meisten Fällen sei die erfolgversprechendste Taktik aber das Reverse Engineering der vorhandenen Binaries. Meist beginne man dabei mit einem der vom Hersteller verteilten Firmware-Updates, da diese häufig auch die Baseband-Firmware enthalten. Allgemein sei die Komplexität des Reverse Engineering je nach Art des Smartphones unterschiedlich. Hilfe komme oftmals auch aus der Jailbreaker-Community. Diese brauche Exploits, um ihre Freischalt-Software lauffähig zu machen, und teile mitunter die diesbezüglichen Informationen. Diese seien beispielsweise hilfreich, um Memory-Dumps zu Diagnosezwecken erzeugen zu können. Beim Reverse Engineering habe er zahlreiche Bugs gefunden, von denen einige auch das Ausführen von Schadcode über eine Remote-Verbindung erlauben, berichtete Weinman.

Warum sollten derartige Berichte uns Sorgen machen, warum sind sie für den durchschnittlichen Smartphone-Nutzer relevant? Weinman nannte dafür mehrere Gründe. So sei der Kauf der zum Imitieren einer Basisstation nötigen Hardware kein allzu großes Hindernis mehr. Auf eBay könne man gebrauchte Hardware zu einigermaßen moderaten Preisen kaufen. Zudem sei kürzlich mit dem Ettus USRP v1, den er kurz vorstellte, ein Gerät speziell für das Baseband-Hacking auf den Markt gekommen. Ein weiteter Grund zur Sorge für den Experten: Benutzer können sich - anders, als es oft im PC-Bereich der Fall ist - kaum durch eigenes Handeln oder die Verwendung bestimmter Software vor derartigen Angriffen schützen.

Dementsprechend betitelte Weinman den nächsten Teil seines Vortrags mit "The Baseband Apocalypse". Er entwarf darin ein Worst-Case-Szenario, wie die vorhandenen Sicherheitslücken in der Mobilfunk-Infrastruktur von entschlossenen Angreifern genutzt werden könnten. So könne man seine eigene Basisstation an einem belebten Platz oder aber an einem Ort, an dem sicherheitsrelevante Gespräche besonders häufig sind, aufstellen und somit die Erfolgsquote erhöhen. Daneben könne man Mobiltelefone aber auch nutzen, um Personen unbemerkt abzuhören oder anderweitig zu überwachen, da sich Kamera und Mikrofon über das Netz aktivieren lassen (dies führten die Ermittlungsbehörden einiger Länder in der Vergangenheit bereits durch). Man könne auch Schädlinge programmieren, die sich von einem Telefon zum anderen weiterverbreiten, sagte der Experte. Durch die richtige Malware sei es zudem möglich, ein Telefon permanent unbenutzbar zu machen ("brick"). Zudem gestalte sich die Aufklärung sicherheitsrelevanter Vorfälle häufig äußerst schwierig. Forensische Untersuchungen seien "in Baseband-Land sehr schwer" und benötigten oftmals Exploits.

Entwarnung für die Zukunft konnte der Experte nicht geben. Kaum jemand erwäge ernsthaft, ohne sein Mobiltelefon auszukommen, sagte er. Zudem seien viele schlechte Implementierungen auf dem Markt, die die Probleme verschlimmern würden. Einige Hoffnungen setze er aber in den in der Entwicklung befindlichen "Osmocom Baseband"-GSM-Stack. Dieser sei komplett quelloffen, so dass sich viele Menschen an der Suche nach Bugs beteiligen können. Dies könne die Sicherheitslage auf Dauer verbessern, meinte Weinman.

Nach seinen Forschungen suchte Weinman den Kontakt zu den betroffenen Firmen, um sie auf die gefundenen Lücken aufmerksam zu machen. Apple und Qualcomm hätten gut und schnell reagiert und die gemeldeten Fehler behoben, berichtete er. Microsoft habe die Zulieferfirma kontaktiert und warte derzeit auf deren nächsten Schritt. Die Antwort von ST-Ericsson sei dagegen nicht hilfreich gewesen; offenbar unterschätze man bei diesem Unternehmen die Risiken und halte das eigene Produkt für sicherer, als es wirklich sei.

Für die Zukunft hatte Weinman im wesentlichen düstere Aussichten. Er prophezeihte, dass UMTS und 3GPP zukünftig dieselben Probleme bekommen würden wie heute GSM. Eine bessere Energieversorgung durch Femtozellen werde den Angreifern zusätzlich helfen, ihre Hardware langfristig und diskret zu betreiben. Weinman betonte, es werde eine bessere Authentifizierungs-Methode für das Mobilfunknetz benötigt.

Zum Abschluss des Vortrags lieferte Weinman eine kleine Demonstration. Er setzte eine eigene Basisstation auf und schaffte es nach einigem Herumprobieren, darüber ein zu Testzwecken zur Verfügung gestelltes iPhone abstürzen zu lassen.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Erkennung von Hardware-Keyloggern
« Antwort #58 am: 11 Dezember, 2010, 17:10 »
Auf der IT-Sicherheitskonferenz DeepSec Ende November in Wien wimdete der selbständige IT-Sicherheitsforscher Fabian Mihailowitsch einen Vortrag dem Thema "Detection of Hardware Keyloggers". Er erklärte verschiedene Keylogger-Typen und ihre Merkmale und gab Tipps, wie man diese Art Geräte erkennen kann. Hardware-Keylogger seien schlecht erforscht, aber eine reale Bedrohung, sagte der Experte.

Keylogger lassen sich an verschiedenen Stellen des Rechners unterbringen. Als gebräuchliche Stellen zur Platzierung derartiger Geräte nannte Mihailowitsch den PS/2-Port - der allerdings zunehmend an Bedeutung verliert -, USB, PCI und Mini-PCI sowie die Tastatur. Er widmete sich in seinem Vortrag primär den auf PS/2 und USB basierenden Modellen. Diese werden zwischen Tastatur und Computer installiert. Je nach Modell werden die gesammelten Daten gespeichert oder weitergeschickt. Einige Modelle verfügen über hochentwickelte Features wie Suchfunktion, Verschlüsselung und eine Timestamping-Funktionalität. Hardware-Keylogger sind im Internet für unter 100 Euro zu bekommen. Zu beachten sei, dass Tastaturen mehr Informationen senden und empfangen als nur die gedrückten Tasten, sagte Mihailowitsch.

Die gängige Methode zur Erkennung von PS/2-Keyloggern seien Technologien, die den Stromverbrauch messen, erklärte der Experte. Er stellte daneben aber noch einen anderen Ansatz vor. Keylogger seien mit einem Passwort geschützt. Werde dies richtig eingegeben, werde der gesammelte Datenbestand zurückgespielt. Interessant sei dabei, dass jedes Keylogger-Modell ein Default-Passwort habe. Dieses werde oftmals von den Benutzern nicht geändert - teilweise sogar auf Empfehlung der Hersteller, da ein Keylogger, dessen Benutzer das Passwort nicht mehr weiß, zum Zurücksetzen eingeschickt werden muss. Mihailowitsch kam daher auf die Idee, gängige Passwörter durchzuprobieren und zu sehen, ob dadurch "Ghost Typing", also ein Zurückspielen gesammelter Daten, ausgelöst wird. Dies habe sich allerdings aufgrund von Performance-Problemen als nur bedingt umsetzbar erwiesen. Ein weiterer Ansatz sei es, zu untersuchen, ob die übertragenen Daten-Signale der Tastatur durch den Keylogger verändert werden. Für eine effektive Messung der Unterschiede - eine leichte Verzögerung der Signale - musste Mihailowitsch allerdings umfassendes "Kernel-Hacking" auf seinem Linux-Rechner betreiben. Zudem benötigt man dazu einen Referenzwert, man muss also wissen, wie sich das Signal auf dem eigenen Rechner verhält, wenn dieser "sauber" ist. Proof-of-Concept-Code für seine Ansätze will Mihailowitsch in Kürze unter https://code.google.com/p/hkd ins Netz stellen.

Wie aber kann man PS/2-Keylogger "besiegen"? Auch hierzu nannte Mihailowitsch neben dem Entfernen des Keyloggers mehrere Möglichkeiten. Eine ist, den Speicher des Geräts - beispielsweise mit Hilfe eines geeigneten Scripts - zu überfluten. Dann stellt dieses das Loggen ein; einige Modelle überschreiben auch bereits im Speicher befindliche Daten. Dies funktioniere recht gut, so der Sicherheitsforscher. Es nehme allerdings erhebliche Zeit, nämlich bis zu zwei Stunden, in Anspruch. Eine andere Möglichkeit ist es, den sogenannten "Scancode" des Keyboards umzustellen. Für die Tastatur ist das kein Problem, die gängigen Keylogger kommen nicht damit zurecht. Dieser Ansatz erfordert allerdings auch eine Anpassung im Betriebssystem. Unter Linux funktioniere dies mit etwas einmaligem Aufwand gut, berichtete Mihailowitsch. Für andere Betriebssysteme konnte er keine Angaben machen.

Anschließend widmete Mihailowitsch sich den USB-Keyloggern. Dazu erläuterte er zunächst die Funktionsweise von USB. Er erklärte, bei USB manage lediglich der Host Controller die Kommunikation mit den angeschlossenen Geräten. Er verschicke die Daten und frage auch die von den Peripheriegeräten gesammelten Daten aktiv ab ("Polling"). Die Daten werden daher in Paketen gesendet. Im Falle einer Tastatur bedeutet das, dass die gedrückten Tasten in Paketen abgelegt und dann an den USB-Host Controller geschickt werden. USB, so Mihailowitsch, kenne verschiedene Geräteklassen, die definieren, wie mit dem Gerät kommuniziert werde. Tastaturen gehörten zur "Human Interface Device"- (HID-)Klasse.

Bezüglich der Erkennung von USB-Keyloggern konnte Mihailowitsch ebenfalls einige Ansätze nennen. Seine erste Idee sei gewesen, auch hier den Stromverbrauch zu messen. Dies funktioniere allerdings nicht in Software und sei damit unpraktikabel. Der Bruteforce des Passwortes funktioniere nur bei bestimmten Keylogger-Modellen. Interessant und erfolgversprechend sei dagegen, dass ein eingesteckter Keylogger die USB-Topologie und die Geräte-Eigenschaften verändere. So gebe es einige Fälle, in denen ein Keylogger im Gerätemanager als USB-Hub - ohne Marken- und Modellangabe - auftauche. Andere Modelle würden die Geräteklasse der Tastatur ändern, so dass dieses als "Fullspeed"- oder "Self-Powered"-Device statt als HID angezeigt werde. Auch der Zeitmessungs-Ansatz ließe sich für USB adaptieren - in diesem Fall sei noch nicht einmal eine Anpassung des Kernels erforderlich. In einigen Fällen verhalte sich auch die Tastatur durch den Keylogger anders, es könne beispielsweise sein, dass die Funktion "USB Reset" nicht mehr funktioniere.

Mihailowitsch schlussfolgerte, dass sich technisch gesehen alle getesteten Keylogger - wenn auch mit teils erheblichem Aufwand - entdecken lassen. Eine Kombination generischer und individueller Bugs mache dies möglich. Die Frage ist, wie dieses Wissen praktisch so umgesetzt werden kann, dass der Sicherheitsstandard in durch solche Angriffe gefährdeten Unternehmen verbessert wird. Hier steht wohl noch einiges an Forschungs- und Entwicklungsaufwand bevor.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
DeepSec 2010: Passwort-Sicherheit
« Antwort #59 am: 12 Dezember, 2010, 21:44 »
Ron Bowes, Sicherheitsforscher, Reverse-Engineer und Programmierer für NMap und Nessus, hielt auf der IT-Sicherheitskonferenz einen Vortrag unter dem Titel "Passwords in the Wild". Es sollte um die Frage gehen: "Welche Passwörter verwenden Benutzer und wie knacken wir sie?" Anhand verschiedener Beispiele stellte er häufig genutzte Passwörter und Ansätze, sie herauszufinden, vor.

Bowes begann mit einer Einführung in das Hashing von Passwörtern. Bei Hash-Funktionen handelt es sich um sogenannte Einweg-Funktionen. Das heißt, man kann aus dem Hashwert nicht das ursprüngliche Paswort ausrechnen. Das bedeutet, dass man sich anderer Ansätze bedienen muss, um mit Hilfe eines Passwort-Hashes - beispielsweise aus einer Foren-Datenbank - auf das Passwort des Benutzers zu kommen. Der einfachste dieser Ansätze ist der sogenannte Bruteforce-Angriff. Dabei werden einfach alle möglichen Passwörter der Reihe nach durchprobiert. Das Problem ist, dass dieser Ansatz - gerade mit zunehmender Länge der Passwörter - extreme Mengen an Rechenzeit benötigt. Daher gibt es weitere Ansätze, die bei bestimmten Passwörtern weitaus effizienter sind und ergänzend eingesetzt werden können.

Als Software für die Passwort-Analyse schlug Bowes das bekannte Tool "John the Ripper" vor, dessen Funktionsumfang er kurz vorstellte. Anschließend widmete er sich - anhand einiger Beispiele von Foren-Datenbanken, die von Sicherheitsforschern analysiert wurden - häufigen Passwörtern. Diese können nämlich mit Hilfe von Wortlisten herausgefunden werden. Bei der sogenannten "Dictionary attack" werden alle Passwörter von einer Liste der Reihe nach durchprobiert. Die Listen können dabei je nach Einsatzzweck zusammengestellt werden.

Häufige Passwörter sind oftmals sehr schwach. So sind beispielsweise "password", "password1" und "abc123" als Passwörter populär. Das Wort "password" wird dabei häufig variiert, beispielsweise durch unterschiedliche Groß- und Kleinschreibung oder angehängte Nummern. Daneben finden sich - in Foren mit entsprechender Zielgruppe - auch nicht englischsprachige Varianten dieses Wortes wie das deutsche "Passwort" oder das finnische "salasana". Auch Varianten des Namens oder Nicknames werden recht häufig verwendet; entsprechende Wortlisten hatten in Bowes' Untersuchungen die höchste Trefferquote überhaupt. Daneben sind - gerade auf Seiten mit jüngerem Publikum - Schimpfwörter als Passwörter beliebt. Viele Menschen benutzen eine zweistellige Nummer hinter dem Passwort, bei der es sich häufig um ihr Geburtsjahr handelt. Ebenfalls beliebt sind Tastatur-Muster wie "qwerty" oder das deutsche "qwertz".

Teilweise basieren Passwörter auf dem Thema der Website. So finden sich auf religiösen Seiten teilweise Passwörter wie "Jesus" oder "heaven". Auf Porno-Seiten ist beispielsweise das Wort "pussy" beliebt. Und noch einen heißen Tipp hatte Bowes: "Auf Geek-Seiten versucht zuerst Star Trek-Passwörter."

Besonders effiziente Wortlisten lassen sich oftmals aus den Passwörtern bereits entschlüsselter Datenbanken zusammenstellen. Dabei sind Datenbank-Einbrüche in nicht englischsprachige Seiten besonders wertvoll, da Wortlisten in diesen Sprachen schwieriger zu bekommen sind.

Technisch gesehen macht es einen Unterschied, ob beim Hashing ein sogenannter "Salt", also eine Pseudozufallszahl, die mit in den Hash eingerechnet wird, verwendet wird. "Plain Hashing sucks," zeigte sich Bowes überzeugt und erklärte, die meisten Passwörter "normaler Länge" seien durch Bruteforce-Angriffe herauszubekommen, wenn kein Salt verwendet werde. Wird dagegen ein Salt verwendet, dauert das Berechnen des Hash-Wertes länger. Zudem erzeugt das selbe Passwort so verschiedene Hashes und muss daher mehrfach entschlüsselt werden. Dadurch steigt der Rechenaufwand merklich an. Auch die Verwendung sogenannter "Rainbow Tables" ist nicht möglich, wenn ein Salt verwendet wird. An den Salt zu kommen sei dagegen kein Problem, berichtete Bowes. Dieser werde meist ganz normal mit dem Passwort in der Datenbank abgelegt.

Eines der von Bowes analysierten Foren war das deutsche Carding-Forum "Carders.cc". Von diesem hat er nach eigenen Angaben die gesamte Datenbank vorliegen. Der Sicherheitsforscher verriet, unter den beliebtesten Passwörtern seien "hurensohn" und "13371337" gewesen. Die Qualität der Passwörter sei teilweise höher als auf anderen Seiten; sie würden teils äußerst lange brauchen, um die Passwörter durch Bruteforce zu entschlüsseln.

Die Verwendung von "Leetspeak" in Passwörtern stellt Bowes und seine Kollegen nach eigenen Angaben nicht mehr vor große Probleme. Mit den richtigen Wörterbuch- oder John-Regeln seien diese Passwörter selbst auf einem Mittelklasse-Laptop in überschaubarer Zeit zu entschlüsseln.

Bowes berichtete, mit einer guten Strategie sei es möglich, 97% der Passwörter einer durchschnittlichen Foren-Datenbank zu entschlüsseln. Dies könne allerdings teilweise erhebliche Zeit in Anspruch nehmen. Der Sicherheitsforscher hält daher das sogenannte "GPU Computing", also die Berechnung durch Grafikkarten, für äußerst interessant. Er sagte, er werde sich damit zukünftig näher befassen.

Für Foren- oder Website-Admins sei es durchaus sinnvoll, strenge Regeln zur Qualität der Passwörter festzulegen, sagte Bowes. Dies könne das Passwort-Knacken erheblich erschweren. Allerdings werde auch die Benutzerfreundlichkeit beeinträchtigt, weswegen teilweise darauf verzichtet wird.

Quelle : www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )