-
Nicht zuletzt durch Sony BMGs fragwürdigen Kopierschutz sind Rootkits und deren Techniken mittlerweile hinreichend bekannt. Dass es neben Rootkits für Unix- und Windows-Systeme auch solche für Datenbanken gibt, ist allerdings nur wenigen geläufig. Alexander Kornbrust von Red Database Security hat bereits im April 2005 eine erste Demonstration eines Datenbank-Rootkits vorgestellt, durch das nicht mehr alle Nutzer und Prozesse einer Datenbank angezeigt werden.
Das Besondere dieser Rootkits liegt in der Unabhängigkeit vom Betriebssystem, da sie sich nur in der Datenbank einnisten; und die kann, wie etwa Oracle, unter Windows, Solaris und Linux laufen. Zudem sind Datenbanken mittlerweile mit so vielen Funktionen ausgestattet, dass sie fast schon ein eigenes Betriebssystem darstellen – allerdings ohne deren Sicherheitsfunktionen. Meist ist über besondere Schnittstellen auch der Zugriff auf die Resourcen des darunterliegenden Betriebssystems möglich.
Mittlerweile arbeitet Kornbrust an Version 2.0 seiner Rootkit-Demonstration, die er auf der kommenden Black-Hat-Konferenz in Las Vegas vorstellen will. Mit den Standardtools zur Administration soll die Tarnkappe nur noch schwer zu entdecken sein. Auch mit den herkömmlichen Security-Tools sei den Datenbank-Rootkits schwer zu Leibe zu rücken, da sie nur die üblichen Betriebssysteme oder Netzwerke analysieren könnten.
Kornbrust versteht sein Tool aber nicht als Hackingwerkzeug, sondern als Werkzeug zur Demonstration von Fehlkonfigurationen und Schwachstellen in bekannten Datenbankprodukten. Gerade weil Oracle und Microsofts SQL-Server immer größere Verbreitung finden, sei damit zu rechnen, dass diese bald vermehrt Angriffen ausgesetzt seien. Ende des vergangenen Jahres tauchte auch schon der erste so genannte Oracle-Wurm auf. Dem Voyager genannten Demonstrationscode fehlte allerdings eine eigene Verbreitungsroutine.
Ein kleine Serie auf heise Security beschäftigt sich mit Rootkits unter Windows. Nachdem der erste Teil die grundlegenden Techniken erläuterte, stellt Windows Rootkits 2005, Teil 2 eine innovative Konzeptstudie vor, die Speicherzugriffe auf Hardware-Ebene kontrolliert und damit unsichtbar für Security-Scanner ist.
Quelle und Links : http://www.heise.de/security/news/meldung/68748 (http://www.heise.de/security/news/meldung/68748)
-
Black Hat Konferenz: Können Programme, die sich selbsttätig ausbreiten, auch nützlich sein?
Auf der Konferenz " Black Hat Federal " in Arlington im US-Bundesstaat Virginia holt ein Forscher ein altes Streitthema wieder aus der Versenkung hervor. David Aitel, Forschungsleiter der Sicherheitsfirma Immunity schlägt vor, Wurm-artige Programme in lokalen Netzwerken einzusetzen, die nach Sicherheitslücken auf den Computern eines Unternehmens suchen sollen.
Diese Programme, die Aitel als "Nematoden" bezeichnet , sollen sich selbsttätig von Rechner zu Rechner fortpflanzen, jedoch von einem zentralen Server kontrolliert werden. Sie sollen also um Erlaubnis fragen, bevor sie zum nächsten Rechner weiter ziehen. Auf einem Rechner angekommen, sollen sie nach bekannten Schwachstellen suchen und diese an den Kontroll-Server melden.
Im Gegensatz zu schädlichen Würmern sollen die Nematoden auf ein lokales Netzwerk beschränkt sein, jedoch die Grenzen von Sub-Netzen überwinden können. Aitel meint, diese Methode sei effektiver und preisgünstiger als der Einsatz spezieller Netzwerksensoren, für die auch erhebliche Lizenzkosten anfielen, abhängig von der Größe des Netzwerks.
Kritiker sehen vor allem die Gefahr, dass derartige Programme außer Kontrolle geraten könnten. Außerdem berücksichtige Aitels Vorschlag zwar die Steuerung der Ausbreitung, nicht jedoch den möglichen Einfluss selbstreplizierender Programme auf die Stabilität der Computer.
Bereits 1994 hatte der Virenforscher Vesselin Bontchev das Potenzial "guter Viren" grundsätzlich bejaht - alle Versuche der praktischen Umsetzung, die seitdem stattgefunden haben, müssen jedoch als gescheitert angesehen werden. So wurde im Jahr 2003 der Wurm " Welchia " von Unbekannten in Umlauf gebracht, der wohl eigentlich den "Blaster"-Wurm ( Lovsan ) bekämpfen sollte. Welchia war jedoch bei seiner eigenen Ausbreitung so aggressiv, dass er mehr Probleme schuf als er lösen konnte.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/130945/index.html (http://www.pcwelt.de/news/sicherheit/130945/index.html)
-
Bereits seit September 2004 liefert Microsoft den so genannten Fingerprint Reader, ein Authentifizierungs-Gerät für PCs, aus. Werbung für den Einsatz des Produkts in sicherheitsrelevanten Bereichen hat das Unternehmen dabei nie gemacht. Ein Sicherheitsexperte des finnischen Militärs hat sich angeschaut warum dies so ist.
Obwohl der Fingerprint Reader nicht autorisierte Personen davon abhalten kann, sich am PC einzuloggen, hat Microsoft dieses Produkt nie für sicherheitsrelevante Bereiche empfohlen, stattdessen sollten Anwender dieses Feature nur als Komfortelement ansehen und nutzen - um sich nicht Dutzende von Passwörtern merken zu müssen und schnell auf Web-Seiten einloggen zu können. Ja, Microsoft warnt sogar ausdrücklich in dem "How To Guide" zum Fingerprint Reader (siehe Ausschnitt rechts) davor, den Fingerprint Reader für sicherheitsrelevante Bereiche zu benutzen.
Dem ist nun der Mikko Kiviharju, Forscher bei den Finnish Defense Forces, nachgegangen. Auf der Black Hat Europe präsentiert der Wissenschaftler seine Ergebnisse . Die Kernaussage: Der Fingerprint Reader von Microsoft verschlüsselt den Fingerabdruck nicht.
Da das Fingerprint Image unverschlüsselt vom Fingerprint Reader an den PC übertragen wird, kann es dementsprechend leicht entwendet werden. Beispielsweise mit einem Sniffer, so Kiviharju. Um den Fingerabdruck weiter zu verwenden, ist den Ausführungen von Kiviharju zufolge dann aber wieder wesentlich mehr technischen Wissen erforderlich.
Was den Forscher und einige Kollegen noch mehr verwundert hat: Ihren Analysen zufolge, hätte Microsoft die Verschlüsselung mit einigen wenigen Änderungen an der Firmware des Produkts aktivieren könnte. "Das hat einige der Experten, die mich kontaktiert haben, ebenfalls sehr verblüfft“, erklärte Kiviharju. "Es ist ein ziemlich anständiges Produkt, aber irgendwie hat Microsoft es geschafft, es zu vermasseln."
Microsoft hat die Technologie für den Fingerprint Reader von der in Redwood City, Kalifornien, ansässigen Firma Digital Persona Inc. lizenziert. Digital Persona stellt ein ähnliches Produkt her - namens U.are.U 4000 -, das die Fingerprint Images allerdings verschlüsselt.
Der Ansicht eines Sicherheitsspezialist zufolge könnte die Einstellung für die Verschlüsselung auch Teil der Lizenzbedingungen sein. Indem eine Versionen des Produkts geschaffen wurde, das nicht auf die Sicherheit fokussiert ist, könnten Microsoft und Digital Persona sicherstellen, dass die Produkte der beiden Firmen nicht gegeneinander konkurrieren, so Russ Cooper, Senior Information Security Analyst bei Cybertrust.
Microsoft war auf Anfragen des IDG News Service kein Kommentar zu entlocken. Digital Persona wollte die Entscheidung von Microsoft, das Feature abzuschalten, nicht kommentieren.
Quelle : www.pcwelt.de
-
Aufgrund seiner Einfachheit und Flexibilität hat der kostenlose Voice-over-IP-Dienst Skype recht weite Verbreitung gefunden – nicht zuletzt, weil Skype-Clients auch ohne Umkonfiguration der Firewall von außen erreichbar sind. Sicherheitsspezialisten stellen sich ob solcher Fähigkeiten allerdings die Nackenhaare auf. Da der Hersteller das proprietäre Skype-Protokoll und die genaue Funktionsweise des Clients nicht offengelegt hat, bleibt die Frage, was Skype sonst noch so alles kann und welche Risiken der Einsatz etwa im Unternehmensfeld birgt. Insbesondere wird gerne darüber spekuliert, ob Skype irgendeine Backdoor enthält.
Seit längerem gibt es Versuche, die Arbeitsweise von Skype zu analysieren und zu dokumentieren. Erste Ergebnisse (PDF-Datei) lieferte bereits 2004 die Universität Columbia, die aber hauptsächlich den Netzwerkverkehr untersuchte. Philippe Biondi und Fabrice Desclaux von EADS haben kürzlich auf der Black-Hat-Konferenz nachgelegt und die genauere Arbeitsweise des Clients veröffentlicht.
Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger (etwa SoftIce) läuft und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Die Präsentation "Silver Needle in the Skype" der beiden EADS-Wissenschaftler zeigt aber, wie man Skype austricksen kann, um es trotzdem zu analysieren.
Darüber hinaus ist es den beiden Forscher gelungen, die Art der Datenverschlüsselung, die Berechung des Schlüssels sowie die Authentifizierung von Skype herauszufinden. Ein Teil ihres Vortrags zeigt sogar die prinzipielle Möglichkeit auf, manipulierte Supernodes ins Netz zu bringen, um VoIP-Verkehr umzuleiten und zu belauschen.
Eine abschließende Bewertung geben Biondi und Desclaux nicht ab. Bedenklich sei aber, dass man Skype nicht gut vor Attacken schützen könne, da der Verkehr verschlüsselt ist. Zudem würde jedem Skype-Gesprächspartner eine Vertrauensstellung zugebilligt, die so nicht immer sinnvoll sei. Immerhin loben sie das clevere Design und die gute Implementierung der kryptographischen Funktionen. Ob Skype ein Backdoor enthält, konnten sie allerdings auch nicht beantworten.
Siehe dazu auch:
* Silver Needle in the Skype (PDF), Vortrag von Philippe Biondi und Fabrice Desclaux
Quelle und Links : http://www.heise.de/security/news/meldung/71094
-
Malware wird in unauffälligen Bilddateien oder PDF-Dateien versteckt, die im Browser angezeigt werden.
Bei bisherigen Ansätzen zum Einschleusen von schädlichem Programm-Code mit Hilfe von Bilddateien gibt es in aller Regel kein Bild, das angezeigt werden könnte. Vielmehr führt der Versuch des Öffnens bei anfälligen Programmen zum Absturz, wodurch der Code im Speicher ausgeführt wird. Die Forscher der zu Verisign gehörenden Sicherheitsheitsfirma Idefense haben jetzt einen Weg gefunden, Code in normalen Bilddateien zu verstecken.
Die bislang bekannten Angriffe, etwa der WMF-Exploit , nutzen Sicherheitslücken in Grafikmodulen, indem sie präparierte Dateien verwenden, die auf Grund von Merkmalen wie der Dateiendung als Bild geöffnet werden. Es handelt sich jedoch im Grunde gar nicht um Bilder. Durch einen Pufferüberlauf im Speicher stürzt die Anwendung ab und hinterlässt ausführbaren Programm-Code aus der vermeintlichen Bilddatei im Speicher.
Die von Greg McManus, leitender Sicherheitsforscher bei Idefense, entdeckte Angriffsmethode hingegen verwendet größere Bilddateien, in denen der schädliche Code versteckt wird. Die sichtbaren Bildinhalte bleiben weitgehend erhalten und das Bild wird (zum Beispiel im Web-Browser) scheinbar ganz normal angezeigt. Wie der enthaltene Code dann zur Ausführung gelangen soll, will McManus Anfang August auf der Black Hat Konferenz in Las Vegas demonstrieren.
Sollte sich erweisen, dass die von Idefense entdeckte Angriffsmethode auf breiter Front einsetzbar ist, ohne dass erst noch neue Sicherheitslücken in bestimmten Programmen gefunden werden müssen, kommt viel Arbeit auf die Entwickler von Sicherheitssoftware zu. Sie müssen dann Wege finden, wie schädlicher Code bereits in dem aus dem Internet kommenden Datenstrom entdeckt werden kann, bevor eine solche Datei in einem Programm geöffnet wird. Das ist zwar technisch möglich, kann jedoch die normale Nutzung des Internets ausbremsen.
Quelle : www.pcwelt.de
-
Das lässt Böses ahnen...
Wie ich hier festgestellt habe, wird Spam-Mail häufig so getarnt, dass im HTML- oder plaintext-code nur Fülltext steht, während die eigentliche Botschaft z.B. in einem base64-codierten GIF steckt. So entgeht's den meisten Spam-Filtern von Providern.
In den Mailern von MS wird dann meist automatisch in der Vorschau oder bei'm Öffnen (nur) das Bild gezeigt.
Es ist zu erwarten, dass beides bald zusammen auftritt...
Also sollte die Vorschau generell deaktiviert sein, unerwartete Mail nur als Quelltext angesehen. Wenn dann nur Mist zu lesen ist, interessiert das Bild auch nicht, Peng!
Bitte nicht vergessen, auch Mailer nutzen eine Browser-Engine zur Darstellung.
-
auch Mailer nutzen eine Browser-Engine zur Darstellung.
Jo ...und wer z.B. Outlook nutzt ist dann auch gleich wieder beim IE....mehr muss man dazu wohl nicht sagen....
-
Eine bekannte Sicherheitsanfälligkeit im DHCP-Client von Windows kann ausgenutzt werden um Schädlinge einzuschleusen.
Am 11. Juli veröffentlichte Microsoft unter anderem das Security Bulletin MS06-036 , das eine Sicherheitslücke im DHCP-Client-Dienst von Windows behandelt. Inzwischen ist ein Demo-Exploit aufgetaucht, der zeigt, wie die Anfälligkeit ausgenutzt werden kann.
Der als "Geschenk" zur in Kürze beginnenden Sicherheitskonferenz Black Hat 2006 etikettierte Exploit-Code ist nach Angaben seines Programmierers im Beipackzettel nur unter Windows 2000 getestet worden. Der Angriffs-Code nutzt einen Speicherüberlauf in der Programmierschnittstelle (API) des DHCP-Client-Dienstes, indem er einen sehr langen Domain-Namen verwendet. Gelingt der Angriff, startet der anfällige Rechner ständig neu.
DHCP (Dynamic Host Configuration Protocol) wird in Netzwerken genutzt, um einem Computer eine IP-Adresse aus einem Adressen-Pool zuzuweisen. Der Computer sendet auf der Suche nach einem DHCP-Server eine Nachricht an alle Rechner (Broadcast). Jeder Rechner könnte im Prinzip darauf antworten und sich als DHCP-Server ausgeben. So kann auch ein Angreifer mit einer speziell konstruierten Antwort darauf reagieren und einen anfälligen PC übernehmen. Dazu könnte zum Beispiel ein Wurm programmiert werden, der auf DHCP-Anfragen reagiert.
Die Wahrscheinlichkeit eines solchen Angriffs steigt vor allem in mehr oder weniger öffentlichen Netzwerken, etwa bei Konferenzen. Auch und gerade drahtlose Netzwerke (WLAN) eignen sich für einen solchen Angriff. Von der Sicherheitslücke betroffen sind laut Microsoft Windows 2000, Windows XP (auch mit Service Pack 2) und Windows Server 2003 (auch mit Service Pack 1), nicht jedoch Window 98 und ME. Wenn Sie das Sicherheits-Update 914388 noch nicht installiert haben, wird es Zeit dies nachzuholen.
Quelle : www.pcwelt.de
-
Die polnische Hackerin Joanna Rutkowska hat Windows Vista noch vor dessen Lancierung geknackt. Auf einer Hacker-Konferenz demonstrierte sie Microsoft die Verwundbarkeit des neuen Betriebssystems.
Beim alljährlichen Hackermeeting «Black Hat» in Las Vegas hatte Microsoft das neue Betriebssystem Windows Vista rund 3000 Hackern und IT-Sicherheitsexperten vorgestellet. Im Gegenzug für ein grosszügiges Sponsoring des Anlasses, sollten die Teilnehmer des Kongresses Sicherheitslücken in Vista finden und aufzeigen, wie «Bild Online» berichtet.
Geknackt hat Vista die polnische Hackerin Joanna Rutkowska. Sie demonstrierte vor den Teilnehmern, wie es trotz Schutzfunktion möglich ist, Tarnprogramme für Hacker unter Windows Vista zu installieren. Microsoft behauptete,d iese sogenannten «Root-Kits» künftig zuverlässig aussperren zu können.
Quelle: http://www.20min.ch/news/kreuz_und_quer/story/20122302
-
Die neue Zwei-Wege-Firewall von Windows Vista ist offenbar auch nicht so unüberwindlich, wie sich Microsoft das gedacht hat. Selbst mit eingeschränkten Benutzerrechten kann sich Malware einen Weg nach draußen schaffen.
Der Antivirus-Hersteller Symantec wird nicht müde an Microsofts neuem Betriebssystem herum zu mäkeln. Besonders dessen neue Sicherheitsfunktionen werden hart rangenommen, bis sich eine Lücke auftut. Nach den Zweifeln an der Benutzerkontensteuerung ist nun die Vista Firewall in die Schusslinie geraten.
Programme, ob schädlich oder nicht, werden von der Vista Firewall erstmal daran gehindert eine Verbindung ins Internet aufzubauen. Für Programme, die das dürfen sollen, kann der Benutzer in der jeweils erscheinenden Dialogbox eine Genehmigung erteilen, so wie das auch von anderen Personal Firewalls bekannt ist.
Dieser Dialog ist laut Symantec aber auch über eine Programmierschnittstelle (API) ansprechbar. So kann Malware den Klick auf die Freigabeschaltfläche auch in Software realisieren, gerade so als ob ein Benutzer darauf geklickt hätte - auch mehrfach. Das ist zwar kein Problem, das es nicht auch bei anderen Firewall-Programmen geben kann, Microsoft hätte jedoch als Hersteller eines neuen Betriebssystems die Chance gehabt diese Umgehungsstraße zu sperren.
Diese Schwachstelle in der Schädlingsabwehr ähnelt der in der Benutzerkontensteuerung, wo ein Klick auf einen Bestätigungsknopf laut Symantec ebenfalls in Software nachgebildet werden könnte. Diese und andere gefundene Schwächen in Vistas Schutzsystem hat Ollie Whitehouse von Symantec in der letzten Woche auf der Sicherheitskonferenz "Black Hat Federal" dargestellt.
Quelle : www.pcwelt.de
-
m$ hat nix dazu gelernt.
Leute, lasst die Finger von Gurk-ware wie Vi$ta!
-
Unsichtbar oder nur fast unsichtbar? An der Frage, ob sich ein Virtual Machine Based Rootkit (VMBR) wirklich vollständig der Entdeckung durch Schutzprogramme entziehen kann, entspinnt sich derzeit das Geklüngel um einen Wettkampf zwischen Sicherheitsexperten. Die Rootkit-Expertin Joanna Rutkowska hat bereits 2006 eine Version ihres Rootkit-Prototyp Blue Pill vorgestellt, der das laufende Betriebssystem in eine virtuelle Umgebung verschob – in ihrer Demonstration führte sie das mit einem Vista-Kernel vor. Damit solle das Hypervisor-Rootkit aus dem System heraus nicht mehr erkannt werden können, Rootkit-Detektoren und Virenscanner würden an der Nase herumgeführt.
Die Spezialisten Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec wollen daran nicht so recht glauben und führen diverse Punkte an, wie ein Programm auch ein Virtualisierungs-Rootkit entdecken könne. So müsse das Rootkit ein unmodifiziertes System emulieren, was beispielweise das Manipulieren des Time Stamp Clock Registers (TSC) erforderlich mache. Andernfalls könne ein Rootkit-Detektor gestohlene CPU-Zyklen bemerken, meint Nate Lawson. Zudem müsse man auch alle bekannten Fehler des Systems emulieren. Darüber hinaus müsse das Betriebssystem auf VT-unterstützer Hardware auch in der Lage sein, seinen eigenen Hypervisor zu starten, obwohl schon das Rootkit als Hypervisor arbeitet.
Um ihre Annahmen zu beweisen, haben sie Rutkowska zu einem Wettbewerb auf einer der nächsten Black-Hat-Konferenzen herausgefordert. Zwei Laptops werden zur Verfügung gestellt, wovon sie eines mit ihrem Rootkit ausstatten darf. Die Herausforderer untersuchen dann mit ihrer Software die Laptops und versuchen herauszufinden, welches der Laptops mit Blue Pill präpariert ist. Rutkowska ist dem Wettbewerb nicht gänzlich abgeneigt, will aber die Regeln erheblich modifizieren – der Fairness halber, wie sie sagt. So sei die Zahl der zur Verfügung gestellten Laptops auf fünf zu erhöhen, da sonst schon durch einfaches Raten die Wahrscheinlich eines richtigen Tipps bei fünfzig Prozent liege. Auf jedem Gerät soll Blue Pill installiert werden, allerdings beim Start nicht jedes Betriebssystem wirklich verschoben werden. Sichergestellt soll nur werden, dass mindestens eine Maschine mit Blue Pill läuft und mindestens eine nicht. Daneben stellt sie noch einige weitere Forderungen in ihrem Blog.
Zudem sei Blue Pill derzeit noch ein Prototyp, dessen Funktionen noch limitiert seien. Um Blue Pill zu einem professionellem Rootkit auszubauen, das den Wettbewerb gewinnen könne, seien erhebliche Entwicklungsarbeiten nötig: 6 Monate Vollzeit mit zwei Entwicklern. Man sei bereit, diese Arbeit auf sich zu nehmen, allerdings müsse dieser Aufwand irgendwie kompensiert werden: Bei einem von Rutkowsa angenommenen Stundensatz von 200 US-Dollar pro Stunde kämen da schnell mehrere Hunderttausend Dollar zusammen. Ein bisschen piekst Rutkowska in Richtung Thomas Ptacek: Wenn sich er und seine Kollegen so sicher seien, ein Patentrezept gegen Virtualisierungs-Rootkits gefunden zu haben, dann könne es nicht schwer sein, Sponsoren zu finden, die den Wettkampf unter diesen Bedingungen finanzieren würden.
Siehe dazu auch:
* Joanna: We Can Detect BluePill. Let Us Prove It!, Blogeintrag von Matasano Security
* We're ready for the Ptacek's challenge!, Blogeintrag von Joanna Rutkowska
* Reale Löcher in virtuellen Maschinen , Meldung auf heise Security
* Attacks on Virtual Machine Emulators, Analyse von Pete Ferrie
Quelle und Links : http://www.heise.de/newsticker/meldung/92176
-
Die Rootkits-Spezialistin Joanna Rutkowska hat den Quellcode einer komplett neu geschriebenen Version des Virtualisierungs-Rootkits Blue Pill frei zugänglich gemacht. Bereits auf der Black-Hat-Konferenz in Las Vegas 2006 stellt sie einen Prototypen des Rootkits vor. Das neue Blue Pill wurde nicht nur überarbeitet, sondern bietet neue Funktionen und setzt laut Beschreibung nun auf die Virtualisierungsunterstützung moderner Prozessoren (HVM, hardware virtualized machines).
(New) Blue Pill soll damit in der Lage sein, ein laufendes Windows in eine virtuelle Umgebung zu verschieben – ganz ohne Neustart und für den Anwender unsichtbar. Damit ist es so aus dem System heraus mit bisher bekannten Methoden nicht aufzuspüren. Blue Pill unterstützt dabei AMDs Virtualisierungslösung SVM/Pacifica, um Windows während des Betriebs einen Hypervisor unterzuschieben. Intels Lösung VT-x kann Blue Pill noch nicht nutzen.
Dafür soll Blue Pill einige Funktionen bieten, die seine Erkennenung durch Rootkit-Detektoren erschweren sollen. Unter anderem soll es in der Lage sein, auch verschachtelte Hypervisors zu unterstützen, sowie die Abfrage des Time Stamp Clock Registers (TSCR) zu manipulieren (RDTSC cheating), um zu verhindern, dass ein Spürhund gestohlene CPU-Zyklen entdeckt. Offenbar haben Rutkowsa und der Mitautor von Blue Pill, Alexander Tereshkin, damit auf die Kritik von Thomas Ptacek von Matasano Security, Nate Lawson von Root Labs und Peter Ferrie von Symantec reagiert: Sie wollen nicht so recht glauben, dass Blue Pill unentdeckbar ist und hatten Rutkowsa zu einem Wettkampf herausgefordert – dem sie allerdings geschickt aus dem Wege ging.
Allerdings gibt es in der nun veröffentlichten Version trotzdem ein paar Einschränkungen: Virtual PC 2007 stürzt ab, wenn es in Blue Pill läuft – womit Ptacek, Lawson und Ferrie einen ersten Treffer erzielen könnten. Zudem soll die Manipulation des Time Stamp Registers (RDTSC cheating) noch sehr einfach implementiert sein. Die derzeit zum Download angebotene Version lässt sich offenbar nur unter Windows mit dem Driver Development Kit (NTDDK) übersetzen.
Siehe dazu auch:
* Blue Pill Projekt, Homepage von Blue Pill
* Hasch mich, ich bin ein Rootkit, Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/93753
-
Dass das ungesicherte Abrufen von Mails über einen unverschlüsselten WLAN-Hotspot keine gute Idee ist, ist seit längerem bekannt. Durch die fehlende Verschlüsselung kann ein Angreifer etwa die Anmeldedaten für Webmail-Konten oder das POP3-Konto mitlesen. Das ganze geht aber noch einfacher, wie Robert Graham von Errata Security auf der Black-Hat-Konferenz vorgeführt hat. Um etwa ein Gmail-Konto zu kapern, genügt es, die Cookies während einer Verbindung des Opfers mitzulesen und für die spätere Anmeldung zu benutzen. Dazu muss man also nicht einmal mehr Loginname und Passwort ausspähen.
Zum Cookie-Klau setzte Graham das eigens dafür geschriebene Tool Ferret ein, dass unter anderem Cookies sammelt. Mit dem Tool Hamster importierte er die Kekse in die eigene Keksdose seines Browsers, um anschließend auf die E-Mails zuzugreifen. Ferret kann darüberhinaus noch einiges mehr an Daten im WLAN sammeln. Ein auf der Black-Hat-Konferenz gehaltener Vortrag (PowerPoint) gibt darüber einen Überblick.
Version 1.0 von Ferret steht auf den Seiten von Errata zum Download bereit, Hamster soll demnächst auf den Seiten zur Verfügung stehen. Schutz vor dem Ausspähen am Hotspot bieten nur verschlüsselte Verbindungen. Dazu nutzt man entweder die Sicherheitsfunktionen der jeweiligen Anwendung oder greift auf die Hilfe eines Dienstleisters zurück.
Quelle : www.heise.de
-
Widgets können nicht nur das Wetter anzeigen oder Nachrichten aus dem Web fischen. Sie können auch als vollwertige Angreifertools ausgenutzt werden.
Viele Anwender und auch Programmierer sehen in Widgets nur Tools, die hübsche Bilder anzeigen sollen.“ So äußerte sich Iftach Ian Amit von der Sicherheitsfirma Finjan auf der Sicherheitskonferenz Defcon 2007 über Widgets, wie sie von Windows Vista und Mac OS X ab Werk zu finden sind. Dabei übersehen die Programmierer und die User jedoch, dass Widgets vollwertige Anwendungen sind, die sich kompromittieren lassen – oder nur zum Zweck der Datenspionage programmiert wurden.
Amit und sein Kollege Aviv Raff demonstrierten anhand zahlreicher Beispiele, wie gefährlich schlecht programmierte oder per se schädliche Widgets sein können. So zeigten sie anhand eines vermeintlichen Hotelreservierungsapplets, wie sich ein bösartiges iGoogle-Applet benutzen lässt, um den Rechner des nichtsahnenden Applet-Nutzers fernzusteuern. Bis vor wenigen Tagen war das laut Amit auch mit Microsofts Online-Dienst live.com möglich. Microsoft hat die Lücke jedoch rechtzeitig vor der Defcon geschlossen.
Nach wie vor angreifbar ist eines der vorinstallierten Widgets aus der Sidebar von Windows Vista. Da der Bug noch nicht behoben wurde, wollte Amit jedoch nicht zeigen, um welches Widget es sich handelt. Auch Yahoo ist dabei, Fehler in seinem Adressbuch-Widget zu beseitigen. Aviv Raff demonstrierte, wie ein Angreifer das Widget nutzen kann, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Die Sicherheitsexperten hatten auch Ratschläge, wie sich Anwender vor solchen Attacken schützen können: Entweder komplett auf Widgets verzichten oder nur Widgets aus vertrauenswürdigen Quellen herunterladen. Yahoo hat inzwischen begonnen, Widgets digital zu signieren und so sicherzustellen, dass sich kein bösartiger Programmcode darin befindet.
Quelle : www.tecchannel.de
-
Der Entwickler der Anti-Rootkit-Software GMER hat einen Schädling entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet und Rootkit-Techniken verwendet, um sich im Windows-System zu verstecken. Die Forscher des Sicherheitsunternehmens Prevx haben den Schädling auf mehreren kompromittierten Webseiten entdeckt, die Sicherheitslücken in veralteter Software ausnutzen, um Schadsoftware einzuschleusen.
Das bislang namenlose MBR-Rootkit basiert auf dem frei verfügbaren Code von BootRoot, einer Machbarkeitsstudie des Sicherheitsdienstleisters eEye. Forscher des Unternehmens hatten auf der Blackhat-USA-Konferenz 2005 demonstriert, wie sich ein Schädling in den MBR einnisten, beim Starten des Systems Treiber manipulieren und so den Kernel von Windows NT und darauffolgenden Windows-Systemen unterwandern kann.
Der jetzt entdeckte Schädling kopiert laut der Beschreibung von GMER zunächst den originalen Bootsektor auf den Sektor 62 der Festplatte, kopiert sich selbst in den MBR und schreibt weitere Daten in die Sektoren 60 und 61 der Festplatte. Den Rootkit-Treiber schreibt der Schädling auf freie Sektoren, üblicherweise die letzten Sektoren auf der Festplatte. Der Code im MBR ist anschließend verantwortlich, den Rootkit-Treiber zu laden.
Nach einem Neustart klinkt sich der Code im MBR in den Interrupt 13h ein und erhält dadurch die Kontrolle über geladene Daten und kann sich in den Windows-Kernel einklinken und ihn so patchen, dass dieser den Rootkit-Treiber lädt. Der Rootkit-Treiber klinkt sich wiederum in die Systemfunktionen IRP_MJ_READ und IRP_MJ_WRITE des Treibers disk.sys ein und leitet Leseanfragen für den Bootsektor auf den originalen Code im Sektor 62 um. Außerdem baut der Treiber Verbindungen ins Internet auf.
Das MBR-Rootkit läuft unter Windows Vista nur eingeschränkt: Sofern die Benutzerkontensteuerung aktiviert ist, kann es sich nicht einnisten. Außerdem soll der Code zum Suchen der zu patchenden Stelle im Kernel unter Vista fehlerhaft sein. Unter Windows XP soll es jedoch funktionieren.
Aufspüren lässt sich das Rootkit mit einer sogenannten Cross-Reference, bei der man die Ergebnisse einer Windows-Funktion nach dem Lesen des Bootsektors mit den Ergebnissen eines Direktzugriffs unter Umgehung der Windows-Funktionen vergleicht. Das Entfernen gestaltet sich offenbar auch recht einfach. Mit dem Windows-Werkzeug fixmbr kann man den Schadcode überschreiben und so unschädlich machen.
Zu DOS-Zeiten waren Bootsektor-Viren keine Seltenheit, mit dem Aufkommen von Windows NT sowie der Verbreitung von Windows XP auch bei Privatanwendern verloren sie jedoch an Bedeutung. Die alten MBR-Schädlinge sind unter den aktuellen Betriebssystemen in der Regel auch nicht lauffähig. Vor Kurzem sorgte dennoch ein Medion-Notebook, das mit einem alten DOS-MBR-Virus von der ALDI-Handelskette ausgeliefert wurde, für Aufsehen. Die jetzt hauptsächlich auf kompromittierten italienischen Webseiten entdeckten MBR-Rootkits stellen jedoch eine neue Gefahr dar, für die die Antivirenhersteller zügig Erkennungs- und Entfernungsmechanismen entwickeln müssen.
Siehe dazu auch:
* Stealth MBR rootkit, Meldung von GMER
* Master Boot Record Rootkit is here and ITW, Blog-Eintrag von Prevx
* MBR Rootkit: follow up, Blog-Eintrag von Prevx
* Download der Quellen zu BootRoot von eEye
Quelle und Links : http://www.heise.de/security/news/meldung/101445/Rueckkehr-der-Bootsektor-Viren
-
Sollte auf meiner Maschine bei'm Boot der MBR-Bootmanager von XFDISK nicht erscheinen, wäre ich gewarnt.
Der verweigert nämlich bei jeder Manipulation am MBR die Funktion.
Es würde hier ohnehin zunächst mindestens ein weiteres Bootmenue erscheinen, das von Win2k, mit '98 als Default.
Daher würde ich den Boot sofort abbrechen, MBR von einer vorbereiteten DOS-Diskette mit XFDISK zurückschreiben, feddisch...
So brauche ich das jeweils möglicherweise kompromittierte Windows nicht trotzdem zu starten zu versuchen.
Und Ghost läuft ja auch von 'ner DOS-Floppy ;)
(Vor)letzte Image-Sicherung der Systempartition drüber und peng...
Kurzum, ein unkonventioneller MBR-Bootmanager kann durchaus etwas zusätzliche Sicherheit bringen.
-
Oder Vista mit aktiviertem UAC :-) Allerdings könnte der schutz u.U. über diesen Weg ausgehebelt werden. Mal schauen!
Cya
-
Mit SQL-Injection können Angreifer nicht nur die Datenbank manipulieren, sondern vollautomatisch gleich den kompletten Server samt Betriebssystem unter ihre Kontrolle bringen. (Infos dazu auch im heise-Security-Artikel "Giftspritze - SQL-Injection"). Das demonstrierte der IT-Sicherheitsspezialist Bernardo Damele Assumpcao Guimaraes während der Hackerkonferenz Black Hat mit seinem Tool sqlmap. Das von Guimaraes entwickelte Tool beherrscht diverse Angriffsarten für alle drei gängigen SQL-Server – und das sowohl unter Windows als auch unter Linux.
Sqlmap erkennt, ob es sich um einen MySQL, PostgreSQL oder Microsoft SQL Server handelt und wählt automatisch den jeweils passenden Angriffsweg. Laut Guimaraes unterscheiden sich die Methoden fundamental je nach Server, um die diversen Ziele eines Angriffs zu erreichen. Auch sind je nach Ziel verschiedene Nutzerrechte nötig. Laut Guimaraes sind jedoch die meisten Datenbankinstallationen von Haus aus so konfiguriert, dass die sqlmap-Angriffe auch in der Praxis klappen.
Im Unterschied zu bisher bekannten SQL-Injections beschränkt sich sqlmap nicht darauf, Werte aus der Datenbank auszulesen, Tabellen zu verändern oder Inhalte an Tabellen anzuhängen. Das Tool ist vielmehr darauf ausgelegt, weitaus komplexere Angriffe durch sogenannte Stacked Queries zu automatisieren. Die bisher bekannten SQL-Injections sind nur Vorstufe und Grundlage für das, was sqlmap eigentlich beherrscht.
So bringt das Open-Source-Tool Funktionen zum Lesen und Schreiben des Datei-Systems mit. Der Angreifer soll damit beliebige Binär- oder Textdateien vom Angriffsziel auf seinen Rechner übertragen können – vorausgesetzt, er kennt den exakten Dateinamen und Pfad. Sqlmap nutzt hierzu je nach Servertyp unterschiedliche, aber standardisierte SQL-Kommandos, um die Files zu lesen. Anschließend wird die Datei auf dem Datenbankserver in eine vom Tool automatisch angelegte Tabelle kopiert, deren Inhalt dann wieder auf die Maschine des Angreifers geschrieben wird.
Der Schreibzugriff gestaltet sich indes etwas komplexer: Hierzu konvertiert sqlmap das betreffende File erst in eine hexadezimale Zeichenkette, teilt die Kette im Fall von MySQL in maximal 1024 Byte große Teilstücke und kopiert die Teilstücke dann in zwei Schwüngen erst 1024 Byte, dann den Rest in eine Tabelle. Der Tabelleninhalt wird dann in eine Datei ins Temp-Verzeichnis des Datenbankservers kopiert. Das Zerstückeln des Files erklärt der Programmierer damit, dass so eventuell vorhandene Beschränkungen des zum Datenbankserver gehörenden Web-Frontends unterlaufen werden. Erkennt sqlmap einen Microsoft SQL Server, wird das hochzuladende File in 64 Kilobyte große Happen zerteilt – genau die Größe, die das auf Windows-Maschinen vorhandene debug.exe verarbeitet. Denn sqlmap weist debug.exe an, aus den 64-KByte-Files eine einzelne, ausführbare Datei zu bauen.
Diese Funktionen, insbesondere natürlich der Schreibzugriff, sind die Grundlage für den eigentlichen Clou von sqlmap: Vollständiger Remotezugriff per SQL-Injection. Dazu hat Bernardo Damele Assumpcao Guimaraes seinem Werk die Funktion -os-pwn mit auf den Weg gegeben. Wird der Parameter verwendet, versieht sqlmap den zum bekannten Metasploit Framework gehörenden Client meterpreter automatisch mit den vom Angreifer gewünschten Parametern und kopiert den Client über eine Abwandlung des File-Uploads auf den Server. Sqlmap kodiert meterpreter zuerst mit dem Metasploit-eigenen Encoder msfencode, um beim Upload eventuell vorhandene Virenscanner ins Leere laufen zu lassen.
Laut Guimaraes erkennt keiner der gängigen 42 Virenscanner ein File, dass mit einem der 13 Metasploit-Encoder bearbeitet wurde. Dabei sind diese Encoder seit langem hinlänglich bekannt. Nach erfolgtem Upload nutzt sqlmap je nach vorhandenem Betriebssystem entweder sys_exe() oder xp_cmdshell() (MS SQL), um meterpreter zu starten. Schutzmaßnahmen gegen solche Attacken sind hinlänglich bekannt: Der Entwickler der Webanwendung muss sicherstellen, dass keine SQL-Kommandos zum Datenbankserver weitergereicht werden. Es gilt, die betreffenden Kommandos direkt nach der Eingabe ins Webfrontend zu filtern.
Quelle : http://www.heise.de/newsticker/SQL-Injection-reloaded-Zugriff-auf-das-Betriebssystem--/meldung/136340
-
Das Hacken von Bankautomaten sollte der Inhalt des für die kommende Black-Hat-Konferenz geplanten Vortrages "Jackpotting Automated Teller Machines" sein. Aufgrund der Intervention eines nicht genannten Automatenherstellers hat der Netzwerkriese Juniper allerdings den Vortrag seines Mitarbeiters Barnaby Jack zurückgezogen.
Die Schwachstelle in den Automaten habe zu weitreichende Konsequenzen, sodass man dem Hersteller vor der Veröffentlichung eine Chance zum Beseitigen gebe müsse. Zudem seien auch andere Hersteller von dem Problem betroffen, schreibt Juniper in seinem Firmen-Blog.
Barnaby Jack wollte auf der Black Hat im Anschluss seines Vortrages sogar einen Live-Hack eines Automaten vorführen und sich Geld auszahlen lassen. Zweifel an der Sicherheit von Geldautomaten werden zuletzt auch durch Meldungen über Fälle von Vireninfektionen von Diebold-Automaten genährt.
Zurückgezogene Vorträge sind nichts Neues für die Black Hat. Zuletzt verhinderte Apple Mitte 2008 eine Präsentation über Lücken in FileVault. Anfang 2007 wurde ein RFID-Vortrag wegen angeblicher Patentverstöße abgesagt. Für die größte Aufmerksamkeit sorgte aber der Versuch von Cisco, einen Vortrag von Michael Lynn über Sicherheitslücken im Routerbetriebssystem IOS zu stoppen. Lynn hielt zwar seinen Vortrag, musste aber später sämtliche Präsentationsmaterialien löschen.
Quelle : www.heise.de (http://www.heise.de)
-
Zwei Mitglieder der HP Web Security Research Group wollen auf der in Las Vegas stattfindenden Black-Hat-Sicherheitskonferenz (http://www.blackhat.com/) ein anonymes Peer-to-Peer-Netzwerk im Webbrowser demonstrieren. Solch ein sogenanntes Darknet ist ein virtuelles privates Netzwerk, in dem Anwender ohne Angst vor Ausspähung miteinander kommunizieren und Daten tauschen können.
Laut Billy Hoffman und Matt Wood bedarf es normalerweise der Installation von Software (etwa Freenet) und diverser Konfigurationen, um ein Darknet zu betrieben. Mit der Lösung von Hoffman und Wood soll ein Webbrowser genügen.
Quelle : www.heise.de (http://www.heise.de)
-
Einen Tag vor der offiziellen Präsentation auf der Sicherheitskonferenz Blackhat gewährten die HP-Forscher Billy Hoffman und Matt Wood heise Security einen ersten Blick auf ihre Browser-basierte Darknet-Software namens Veiled (engl. verschleiert). Solch ein Darknet ist ein virtuelles privates Netzwerk, in dem Anwender ohne Angst vor Ausspähung miteinander kommunizieren und Daten tauschen können.
Veiled kommt im Vergleich zu anderen Darknets wie Freenet oder Gnutella TOR ohne Installation einer Client-Software aus und besteht nur aus HTML- und JavaScript-Code, der komplett vom Browser abgearbeitet wird. Einzige Voraussetzung: Der Browser muss vollständig kompatibel zu HTML5 sein. Laut Hoffman läuft die Software daher problemlos unter Firefox und Safari (auch auf dem iPhone) und mit Einschränkungen sogar unter dem Internet Explorer 8. Kommt der IE zum Einsatz, fehlen allerdings Funktionen wie die gezielte Steuerung des lokalen Festplattenplatzes, der vom Darknet belegt werden kann. Googles Chrome soll erst in der kommenden Version 3.0 ebenfalls HTML5-tauglich sein.
Auf die Frage, warum sie eine weitere Darknet-Variante entwickelt haben, antworten Hoffman und Wood im Einklang: "Weil wir demonstrieren wollten, dass ein Browser nicht nur stupide Webseiten anzeigen kann. Außerdem sind wir davon überzeugt, dass Darknets wesentlich weiter verbreitet wären, wenn die Einstiegshürden wie Download, Installation und Konfiguration der Client-Software nicht existierten."
Hoffman weist zwar daraufhin, dass Darknets zumeist zum illegalen Datenaustausch genutzt werden. Er sieht dank Browser-Darknet aber auch die Chance, dass legale Anwendungen Verbreitung finden. So könne er sich eine Darknet-basierte Version der Whistleblower-Site Wikileaks vorstellen, die aufgrund des Aufbaus weniger anfällig gegen rechtliche Konsequenzen wäre als die klassische, auf Webservern aufbauende Version.
Veiled wird gestartet, in dem der Anwender eine bestimmte, vom Darknet-Betreiber erstellte PHP-Datei von einem Web-Server aufruft. Die Datei dient quasi als Router zwischen allen Darknet-Clients. Die Kommunikation zwischen den Clients wird per RSA verschlüsselt. Um die Sicherheit zu erhöhen, kann man die PHP-Datei auf mehrere Webserver verteilen. Beim ersten Aufruf teilt der ursprüngliche Server den Clients die übrigen Adressen mit, so dass sich der Browser im Falle eines Ausfall an einen der Backup-Supernodes wenden kann.
Wie bei anderen Darknets auch gibt es keinen zentralen Speicherort für die unter den Darknet-Nutzern ausgetauschten Dateien. Vielmehr gibt jeder Anwender eine frei definierbare Menge an Plattenplatz frei, die Darknet-Software verteilt alle vorhandenen Files dann stückchenweise auf die verfügbaren Platten. Ein ähnliches Konzept will auch Opera in der kommenden Version seines Browsers mit Opera Unite implementieren.
Im Fall von Veiled steht der Plattenplatz indes nur so lange zur Verfügung, wie die Browser-Session andauert. Um Datenverluste durch Engpässe zu vermeiden, belegt Veiled automatisch nur einen Bruchteil des kumulierten Speicherplatzes.
Neben dem Datenaustausch beherrscht Veiled noch einen Gruppen- und einen Privatchat (jeweils AES-codiert), eine Web-in-Web-Funktion (HTML-Files, die auf im Darknet gespeicherte Files verweisen) und eine Distributed-Computing-Funktion (alle Clients arbeiten gemeinsam eine Aufgabe ab, wie zum Beispiel das Berechnen von Hash-Werten). Alle Funktionen sind vollständig in JavaScript implementiert.
Hoffman und Wood wollen ihren Browser-Darknet-Prototypen jedoch nie veröffentlichen. Es soll weder eine kommerzielle, noch eine Open-Source-Variante geben. Letzterem stünden die HP-internen, länglichen Prozesse im Weg, meinte Hoffman gegenüber heise Security. Schließlich müssten etliche Fragen zum geistigen Eigentum gründlich geklärt werden. Die HP-Forscher wollen in ihrer demnächst von der Konferenzwebseite herunterladbaren Präsentation jedoch genügend Hinweise zu den jeweiligen von ihnen geschaffenen Problemlösungen geben, so dass andere Programmierer Veiled leicht nachbauen können.
Quelle : www.heise.de (http://www.heise.de)
-
Auf der Sicherheitskonferenz Black Hat, die derzeit in Las Vegas stattfindet, haben die italienischen Sicherheitsforscher Andrea Barisani und Daniele Bianco einen PS/2 Protocol Keyboard Sniffer vorgestellt. Dieser kann die Tastenanschläge von PS/2-Tastaturen aus der Masseleitung im Stromnetz auslesen. Nach Angaben von Barisiani war das Team damit in der Lage, die PINs von Geldautomaten in Italien ohne Kamera oder andere Methoden nur via Steckdose auszulesen. Damit zeigen die beiden eine weitere Skimming-Quelle auf.
Als Skimming wird ein Man-in-the-Middle-Angriff bezeichnet, bei dem von Kredit- oder Bankkarten sowohl die Magnetstreifeninformationen wie auch die PIN ausgespäht werden. Ein verbreiteter Weg ist das Anbringen zusätzlicher Hardware auf dem Kartenschlitz des Bankautomaten zum Abgreifen der Magnetstreifendaten, die PIN wird häufig beim Eintippen gefilmt.
Die Sicherheitsforscher demonstrierten auch das Ausspähen von Keyboard-Eingaben, indem sie mit einem Lasermikrophon die Vibrationen von Notebooks mitlasen und diese anschließend mittels einer stochastischen Analyse einer Wahrscheinlichkeitsauswertung unterzogen.
Die Beiträge der Black Hat stehen zwei Wochen nach der Veranstaltung online im Archiv (http://www.blackhat.com/html/bh-media-archives/bh-multimedia-archives-index.html) zur Verfügung.
Quelle : www.heise.de (http://www.heise.de)
-
Erneut hat der IT-Sicherheitsexperte Moxie Marlinspike eine gefährliche Schwachstelle bei SSL-Zertifikaten offengelegt: Während seiner Präsentation im Rahmen der Blackhat-Konferenz am Mittwoch in Las Vegas demonstrierte Marlinspike, wie leicht er sich ein gültiges Zertifikat für eine fremde Domain wie zum Beispiel www.paypal.com (http://www.paypal.com) von einer Zertifizierungsstellen ausstellen lassen konnte. Der Trick: Marlinspike fügte beim Beantragen des Zertifikats im Namensfeld (CN, Common Name) ein Nullzeichen (\0) zwischen den gewünschten Domainnamen und den Namen der eigenen, bereits in seinem Besitz befindlichen Domain thoughtcrime.org ein.
Einige Zertifikatsstellen interpretieren die so entstehenden URLs wie www.paypal.com (http://www.paypal.com)�.thoughtcrime.org so, dass sie nur den hinteren Teil des Domainnamens auslesen und den Rest als Subdomain betrachten. Da der Prozess vollkommen automatisch abläuft, geht dem per WHOIS-Abfrage ermittelten Besitzer der Domain thoughtcrime.org das Zertifikat zu. Laut Marlinspike lassen sich so auch verschiedene Zieldomains wie www.ebay.com (http://www.ebay.com) gruppieren, indem sie in Klammern und durch Pipe-Zeichen getrennt vor das Nullzeichen gepackt werden.
Liest ein Browser oder eine andere Anwendung mit SSL-Stack das frisierte Zertifikat ein, interpretiert die Software das Nullzeichen als Stopzeichen und ignoriert alle folgenden. Auf diese Art kann ein Angreifer per Man-in-the-Middle-Attacke vorgaukeln, www.paypal.com (http://www.paypal.com) zu sein und das dazu passende Zertifikat präsentieren. Selbst ein Wildcard-Zertifikat soll sich durch den Trick erstellen lassen, indem kein Domainname sondern ein Stern (*\0.thoughtcrime.org) dem Nullzeichen vorangeht.
Laut Marlinspike ist momentan einzig Firefox 3.5 in der Lage, den Schwindel zu entdecken und die Zertifikate als ungültig abzustempeln. Für die Version 3.0 ist ein Update geplant, wie Marlinspikes Kollege Dan Kaminsky erklärt. Der durch den DNS-Bug bekannt gewordene Kaminsky hat zufällig die gleiche Entdeckung gemacht wie Marlinspike und die Firefox-Macher informiert. Microsoft ist noch dabei, den Internet Explorer gegen die Attacke abzusichern.
Opera und Safari ignorieren das Nullzeichen und fügen die beiden Domains einfach zusammen. Der Hacker gibt jedoch zu bedenken, dass die eventuell kommenden Softwareupdates in einer kompromittierten Umgebung ihren Weg niemals auf den PC des Anwenders finden, da sich der automatische Updatemechanismus ebenfalls per sslsniff aushebeln lässt. Einzig das Patchen des Internet Explorer ist dank des bis heute nicht angreifbaren Windows Update sicher.
Marlinspike will die Funktion, ein Nullzeichen-Zertifikat automatisch während der Man-in-the-Middle-Attacke auszuliefern, in die kommende Version seines seit mehreren Jahren weiterentwickelten Tools sslsniff (http://thoughtcrime.org/software/sslsniff/) integrieren.
Siehe dazu auch:
* Black Hat: Neue Angriffsmethoden auf SSL vorgestellt (http://www.heise.de/security/Black-Hat-Neue-Angriffsmethoden-auf-SSL-vorgestellt--/news/meldung/133167)
Quelle : www.heise.de (http://www.heise.de)
-
Am Vorabend der IT-Sicherheitskonferenz Blackhat veröffentlichten Cracker ein umfangreiches Textdokument in Form des Untergrund-Magazins Zero for Owned (ZF0), in dem sich massenhaft E-Mails, Chatprotokolle, Passworte und anderen private Informationen von prominenten Mitgliedern der Security-Szene befinden. Die Cracker haben die Daten offenbar durch Einbrüche in die Webserver von Kevin Mitnick, Dan Kaminsky und Julien Tinners erbeutet. Sie brüsten sich damit, auf diese Weise alleine 75.000 Klartextpasswörter erbeutet zu haben, die großen Teils aus den Datenbanken der auf den betroffenen Servern laufenden Forensysteme stammen.
Auf der inzwischen offline genommenen Site von Dan Kaminsky, der im vergangenen Jahr durch die Entdeckung eines Fehlers im DNS-System auch außerhalb der Hacker-Szene bekannt wurde, haben die Cracker die Motivation hinter ihrem Treiben erläutert: Sie kritisieren die Promi-Hacker dafür, dass sie Sicherheitsprobleme in den Medien aufgeblasen haben, um ihre eigenen Karrieren zu fördern. Kaminsky werfen sie vor, stets nur nach medial verwertbaren Bugs zu suchen, und der einstmals für seine Hacks verhaftete Mitnick wird dafür kritisiert, dass er nur noch vom Ruhm längst vergangener Tage zehrt. Gleichzeitig fehle es den Opfern selbst aber an Fachwissen, was nun durch die Hacks belegt werden sollte. Außerdem greifen die Verfasser von ZF0 die enge Zusammenarbeit zwischen den White-Hat-Hackern und der Industrie an und verdammen das verantwortungsvolle Offenlegen von gefundenen Sicherheitslücken (responsible disclosure).
Laut Kaminsky fiel den Crackern lediglich privates beziehungsweise irrelevantes Material in die Hände, jedoch keine Informationen, die zu neuen Angriffen oder Exploits führen können. Auf Nachfrage von Journalisten erklärte er, dass der Hack gefährlicher aussieht, als er de facto ist ("It is just drama"). "Ich verstehe nicht, was an meinem Liebesleben so spannend sein soll. Ich hätte kein Problem mit dem Hack, wenn es wenigstens um technische Details ginge", so Kaminsky weiter. Per Twitter schrieb er wenige Stunden nach dem Hack: "Unschön, aber was solls. Wer sich in eine Schlacht begibt, kann darin umkommen."
Unklar ist noch, wie die Cracker in die Server einsteigen konnten. Im Fall von Kaminsky waren es anscheinend zu kurze – das Root-Kennwort war angeblich lediglich fünf Zeichen lang – und zudem einfach zu erratende Passworte und eine nicht näher beschriebene Zero-Day-Lücke in einer Server-Komponente. Gerüchten zufolge könnte es sich um ein Sicherheitsloch in OpenSSH handeln, allerdings bestehen erhebliche Zweifel an dessen Existenz. Der Server von Kevin Mitnick wurde laut einem Artikel des Register geknackt, weil die Angreifer den Host des Shared-Hosting-Providers übernehmen konnten und somit auch Mitnicks Site unter ihre Kontrolle bekamen. Gegenüber The Register sagte Mitnick in Richtung von Dan Kaminsky, dass er selbst niemals sensible Dokumente auf einen aus dem Internet zugänglichen Rechner legen würde und dass andere offenbar der "Illusion der Unangreifbarkeit" erlegen seien.
Quelle : www.heise.de (http://www.heise.de)
-
Die Sicherheitsspezialisten Alexander Sotirov und Mike Zusman zeigten auf der am Donnerstag zu Ende gegangenen Sicherheitskonferenz Blackhat verschiedene Möglichkeiten, mit EV-SSL-Zertifikaten gesicherte Verbindungen via Man-in-the-Middle anzugreifen.
Extended-Validation-SSL-Zertifikate sollen Webseitenbetreibern und- nutzern mehr Sicherheit bieten als herkömmliche SSL-Zertifikate (auch DV-SSL-Zertifikate genannt, Domain Validated). Kern des Verfahrens ist eine strengere Vergabepraxis von Zertifikaten. Eine simple Online-Registrierung – inzwischen Standard bei der Vergabe herkömmlicher SSL-Zertifikate – genügt nicht mehr. Damit will man ausschließen, dass Angreifer sich dubiose Zertifikate wie www.paypal.com.domainname.com (http://www.paypal.com.domainname.com) ausstellen lassen können. Zudem ist die Überprüfung der Identität des Zertfikatsantragsstellers durch die Zertifizierungsstelle strenger. Außerdem dürfen EV-SSL-Zertifikate ab 2010 nicht mehr mit MD5- oder RSA-1024Bit-Hashwerten signiert werden. Unterstützt der benutzte Browser EV-SSL, wird die URL der aufgrufenen Seite in der Adressleiste grün eingefärbt.
Die nun von Sotirov und Zusman vorgestellten Attacken setzen voraus, dass der Angreifer sich ein herkömmliches DV-SSL-Zertifikat besorgt hat, das mit der anzugreifenden Domain verbunden ist. Wie so etwas funkioniert, haben Moxie Marlinspike und Dan Kaminsky tags zuvor ebenfalls auf der Blackhat demonstriert. Außerdem soll es laut Zusman auch durch diverse Bugs in den Webanwendungen einiger Zertifizierungsstellen möglich sein, an gültige Zertifikate für beliebige Domains zu kommen. Mehr Details zu diesen Schwächen will Zusman jedoch erst auf der heute beginnenden Konferenz Defcon verraten.
Für eine Attacke muss sich der Angreifer per Man-in-the-Middle in die Verbindung klinken, wozu er beispielsweise einen eigenen WLAN-Access-Point benutzen kann oder im LAN Rechner per ARP-Spoofing über sich umleitet. Ein von Sotirov und Zusman entwickelter Proxy vollzieht dann den eigentlichen Angriff. Versucht der Browser die Verbindung zu einer EV-SSL-gesicherten Domain aufzubauen, liefert der Proxy ein für diese Domain gültiges DV-Zertifikat unter. Den Hackern zufolge ignorieren sämtliche Browser diesen Wechsel und zeigen weiterhin die grüne Adresszeile an. In der Folge kann der Angreifer den gesamten Verkehr mitlesen. Demonstrieren konnten die Hacker den Angriff jedoch nicht, da über das latent instabile Konferenz-WLAN keine Internetverbindung zustande kam.
Des Weiteren erläuterten Sotirov und Zusman, wie ihr Proxy JavaScript-Code in eine Webseite eines EV-SSL-gesicherten Servers beim Aufruf durch einen Anwender injizieren kann. Das klappt, wenn die Seite Inhalte von weiteren Seiten einbindet, die nur per DV-Zertifikat geschützten sind, etwa https://www.googleanalytics.com (https://www.googleanalytics.com). Mit dem passenden Zertifikat kann man die gültige Seite vortäuschen und den Code ausliefern. Trotz der Mischung von EV-SSL-Seiten und DV-SSL-Seiten meckert der Browser nicht und zeigt weiterhin den grünen Balken.
Sotirov und Zusaman haben auch Vorschläge parat, wie sich diese Angriffe abwehren lassen. Sie schlagen zum einen vor, EV-Verbindungen nicht mit https zu kennzeichnen, sondern beispielsweise mit httpev. Damit könnte der Browser die unterschiedlichen Datenströme sauber trennen und ein Angriff auf den Mix aus EV und DV würde auffallen. Außerdem müssten die Browser-Hersteller ihren Produkten verbieten, verschiedene Zertifikate für die gleiche Domain innerhalb ein und derselben Session zu akzeptieren.
Quelle : www.heise.de (http://www.heise.de)
-
Ein Vortrag auf der Hacker-Konferenz "Black Hat" hat offenbart, dass die Parkuhren in zahlreichen großen Städten weltweit relativ leicht manipuliert werden können.
Wie der Sicherheits-Experte Joe Grand laut einem Bericht des 'Wired' ausführte, benötigte er nur drei Tage, um das Sicherheits-System der Systeme in San Francisco zu analysieren und zu umgehen. Die Parkuhren arbeiten mit Smartcards, die über ein Prepaid-Geschäftsmodell vertrieben werden.
"Das ganze war technisch nicht besonders kompliziert, und die Tatsache, dass ich es in drei Tagen hinbekommen habe, bedeutet, dass andere Leute es vermutlich auch schon geschafft haben und Vorteile daraus ziehen", sagte Grand. Es ist also davon auszugehen, dass schon eine Reihe von Hackern weltweit kostenlos parken.
Der Sicherheitsexperte hatte die zuständige Verkehrsbehörde in San Francisco im Vorfeld nicht über seine Erkenntnisse informiert. Er wollte vermeiden, dass diese versuchen könnte, seinen Vortrag mit einer gerichtlichen Verfügung zu unterbinden. Dies ist in den letzten Jahren bereits mehreren Referenten auf Hacker-Konferenzen so ergangen.
San Francisco hatte das Projekt zur Installation neuer Parkuhren im Jahr 2003 gestartet. 35 Millionen Dollar wurden investiert. Das neue System sollte zukünftig verhindern, dass der Stadt durch Diebstähle hohe Einnahmen entgehen. Schätzungen zufolge ging durch geknackte Parkuhren oder Unterschlagung von Geldern seitens der städtischen Angestellten, die die einfachen Münzautomaten leerten, pro Jahr rund 3 Millionen Dollar verloren.
Die neuen Parkuhren sind nun Hybrid-Systeme: Die Abrechnung erfolgt entweder per Smartcard oder Münzen, wobei die Geräte aber vernetzt sind und eine genaue Kontrolle über die Einnahmen zulassen. Hergestellt werden sie von der US-Firma J.J. MacKay, die die gleichen Modelle auch nach Florida, Massachusetts, New York, Kanada, Hong Kong und verschiedene einzelne Kommunen verkauft.
Das Sicherheits-System in den Smartcards ist nach Angaben Grands aber recht schwach. Nicht einmal eine digitale Signatur schützt sie vor Manipulationen. So ist es nach seinen Angaben möglich, den enthaltenen Geldbetrag immer wieder aufzuladen oder die Software sogar so zu manipulieren, dass von der ursprünglichen Summe gar nichts abgezogen wird.
Quelle : http://winfuture.de (http://winfuture.de)
-
Auf der diesjährigen Black Hat-Konferenz haben sich Alfredo Ortega und Anibal Sacco von Core Security Technologies in ihrer Präsentation mit der Software Computrace LoJack for Laptops von AbsoluteSoftware auseinandergesetzt. Die Software, die in rund 60 Prozent aller neuen Notebooks schon im BIOS integriert sein soll, arbeite mit Rootkit-Techniken – was die Experten nicht verblüfft und was sie auch nicht kritisieren, schließlich soll die Software ja Diebe überführen und müsse deshalb solche Techniken anwenden.
Für bedenklich halten sie indes, dass sich die Software selbst so gut wie nicht vor Manipulationen schützt. Die IP-Adressen und URLs, die sie verwendet, seien im BIOS hartkodiert und würden bei der Installation an alle möglichen Stellen verteilt. Die ließen sich auf andere Adressen umbiegen. Da Antivirus-Produkte die Software als gutartig einstufe, stellt sie ein ideales Sprungbrett für Manipulationen dar. Die Experten forderten, dass zumindest die Kommunikation zur heimatlichen Basis mit digitalen Signaturen abzusichern sein. Der Hersteller ist informiert.
Zur Funktionsweise der Software siehe auch Verdeckter Ermittler, Eine Software-Firma spürt gestohlene Notebooks (http://www.heise.de/mobil/Verdeckter-Ermittler--/artikel/140624)
Quelle : www.heise.de (http://www.heise.de)
-
Bisher unbekannte Angreifer konnten sich Zugriff auf die persönlichen Datensätze von Dan Kaminsky und weiteren Sicherheitsexperten verschaffen. Diese sollen bereits im Netz kursieren.
Bei Konferenzen wie der Black Hat finden sich zahlreiche Sicherheitsexperten aus der ganzen Welt ein. Unter anderem war Dan Kaminsky, bekannt für die Entdeckung einer kritischen Schwachstelle im Domain-Name-System (DNS), anwesend. Am Vortag der Konferenz sollen sich namentlich nicht bekannte Cracker Zugang zu Systemen von Kaminsky und weiteren Sicherheitsexperten verschafft und diese vollständig übernommen haben. Diese Tat führte am Ende zu einem Dokument mit mehr als 29.000 Zeilen, welches derweil im Netz verteilt wird.
Darin wurden unter anderem vollständige E-Mail-Unterhaltungen, Chat-Logs und Passwörter festgehalten. Obendrein stieß der Eindringling auch auf vertrauliche Zugangsdaten zum Backend von Kaminskys Webseite. Als Reaktion auf das Bekanntwerden dieser Meldung wurde die Seite auf schnellstem Wege offline genommen. Zum Zeitpunkt dieses Artikels ist die Internetseite nach wie vor nicht zugänglich. Alles in allem sollen mehrere Sicherheitsexperten diversen Angriffen zum Opfer gefallen sein. Unter den Betroffenen soll sich auch Kevin Mitnick befinden.
Mitnick ist selbst im Bereich der IT-Sicherheit tätig. Gegenüber dem Nachrichtenportal theregister (http://www.theregister.co.uk/2009/07/29/kaminsky_hacked/) teilte er mit, dass er nicht verstehen kann, wieso persönliche oder vertrauliche Daten auf einem über das Internet zugänglichen Rechner gespeichert werden. Somit liegt die Befürchtung nahe, dass aktuelle Untersuchungen zu bisher unbekannten Sicherheitslücken an die Öffentlichkeit dringen könnten. Kaminsky beschwichtigte derartige Vermutungen und teilte mit, dass dem nicht so sei.
Hinsichtlich der Ursachen, welche die Einbrüche ermöglicht haben, ist bislang nichts bekannt. Black Hat, Black Hat Conference, Black Hat Konferenz, Dan Kaminsky, Kaminsky, hacker, crackerErsten Einschätzungen zufolge soll Kaminsky zu schwache Passwörter verwendet haben. Sollte dem tatsächlich so sein, so wäre die Blamage für den Sicherheitsexperten verhältnismäßig groß. Abgesehen davon wird auch eine kritische Zero-Day-Lücke in einer der Server-Komponenten oder eine Schwachstelle in OpenSSH in Erwägung gezogen.
Quelle : www.gulli.com (http://www.gulli.com)
-
Apple-Tastaturen lassen sich offenbar sehr leicht zu Keyloggern umprogrammieren. K. Chen zeigte in einem Vortrag auf der Sicherheitskonferenz BlackHat, dass neuere USB-Keyboards aus Cuppertino – auch die der MacBooks – einen frei programmierbaren Microcontroller enthalten, mit dem sich allerhand Schabernack treiben lässt. Zu Demonstrationszwecken stattete er eine Tastatur mir einem simplen Keylogger aus, der die zuletzt eingegebenen Zeichen speicherte und nach mehrfachem Drücken der Eingabetaste wiederholte. Zum Umprogrammieren der Firmware benötigte er lediglich den Debugger gdb sowie Apples HIDFirmwareUpdaterTool.
Die Neuinstallation des Systems würde eine solche Manipulation unbeschadet überstehen; laut Chen lässt sich die Umprogrammierung aber durch Flashen der Original-Firmware des Keyboards rückgängig machen. Apple bietet sie als Update für Tastaturprobleme zum Download an. Es sei jedoch auch möglich, eine Apple-Tastatur mit schädlicher Firmware völlig unbrauchbar zu machen. Die Mikrocontroller verfügen allerdings nur über 8 KByte Flash-Speicher und 256 Byte RAM, was einem Keylogger enge Grenzen setzt.
Quelle : www.heise.de (http://www.heise.de)
-
Auf der Hackerkonferenz Defcon (http://www.defcon.org/) stellten die Sicherheitsexperten Itzik Kotler und Tomer Bitto ein neues Tool namens Ippon vor, das sie in Kürze zum Download anbieten wollen. Ippon kompromittiert die automatischen Update-Mechanismen zahlreicher Anwendungen, indem es Programmen wie Adobe Reader, Alcohol 120, Notepad++ oder Skype die Verfügbarkeit eines Updates vorgaukelt. Die der jeweiligen Applikation untergeschobene Datei enthält im Fall eines Angriffs aber kein Update, sondern einen Trojaner oder ein Rootkit.
Ein ähnliches Tool stellten im vergangen Jahr bereits zwei argentinische Programmierer vor. Im Unterschied zu Evilgrade bringt das in Python programmierte Ippon jedoch die Fähigkeit mit, als Rouge-Access-Point zu fungieren, der die Opfer als vermeintlicher Gratis-Internetzugang anlockt. In einem verdrahteten LAN muss der Angreifer per ARP-Spoofing "Man in the Middle" spielen.
Um passend auf die Suchanfrage nach Updates der einzelnen Anwendungen zu reagieren, bringt Ippon eine kleine Datenbank mit, in der unter anderem die Internet-Adressen stehen, unter denen die Applikationen nach Updates suchen. Stellt Ippon einen Zugriff auf eine solche Adresse fest, unterbricht es die Verbindung und kommuniziert selbst mit der Anwendung. Da die Datenbank als XML-Datei vorliegt, können sie Ippon-Nutzer selber um neue Anwendungen erweitern.
Schutz vor einer solchen Attacke bieten ordentliche HTTPS-Verschlüsselung und digital signierte Updates. Beispielsweise Firefox-Updates sind daher nicht mit Ippon angreifbar. Auch bei dem Microsoft-eigenen Updatemechanismus "Windows Update" mussten die Experten passen. Microsoft hat diesen Dienst offenbar durch diverse Schutzmechanismen und Verschlüsselungsverfahren abgesichert, sodass es nicht möglich sei, Windows ein bösartiges Update unterzuschieben.
Quelle : www.heise.de (http://www.heise.de)
-
Die Entwickler des VoIP-Sniffers UCSniff haben auf der gestern zu Ende gegangenen Hacker-Konferenz Defcon Version 3.0 vorgeführt, die um zwei entscheidende Neuerungen erweitert wurde. Zum einen erkennt das von Jason Ostrom und Arjun Sambamoorthy programmierte UCSniff nun von VoIP-Telefonen übertragene Videodaten im Netzwerk automatisch, auch wenn sie mit den Audiodaten vermischt sind. Damit erfasst das Tool die in einer typischen sogenannten Unified-Communication-Umgebung auftretenden Audio- und Videokomponeten. Zum anderen soll die Software künftig auch unter Windows lauffähig sein -- bislang war sie nur für den Einsatz in Kombination mit der auf Linux beruhenden Penetrationtest-Distribition Back Track 3 gedacht. Die Entwickler wollen die neue Version in Kürze zum Download anbieten.
UCSniff setzt auf eine klassische Man-in-the-Middle-Attacke im Unternehmens-LAN, wofür es Ettercap benutzt. UCSniff 3.0 erkennt die in einen Voice-Datenstrom eingebetteten Videoströme (H.264) und konvertiert sie anschließend in eine getrennte AVI-Datei. Eine Besonderheit beim Einklinken in das Netzwerk ist der integrierte VLAN-Hopper: Das Tool erkennt, ob der Ethernet-Switch ein eigenes VLAN für die Audio- und Video-Komponenten aufbaut. Um die vom übrigen Netzwerk und somit auch vom PC oder Notebook des Angreifers getrennten Daten mitschneiden zu können, gibt sich UCSniff als VoIP-Telefon aus und erhält somit von Switch die Freigabe für den Zugriff zum Voice-VLAN. Der Sniffer soll dabei die VLAN-IDs verschiedener Hersteller erkennen und automatisch das passende Ethernet-Paket an den Switch schicken. Anschließend startet das Tool die übliche ARP-Spoofing-Attacke.
Die Macher von UCSniff haben mit VideoJak noch ein weiteres Angriffstool im Programm. VideoJak kann beliebige Videosequenzen ins Netzwerk einspeisen und so zum Beispiel ein Videoüberwachungssystem blenden. In einer Live-Demonstration simulierten die Programmierer das Überwachen eines wertvollen Schmuckstücks im Museum (dargestellt durch eine Wasserflasche): Erst zeichnete das Tool 20 Sekunden lang die unberührte Flasche auf und spielte diese Sequenz anschließend immer wieder ein, während sich der "Dieb" unbemerkt vom "Wachpersonal" die Flasche greifen konnte.
Schutz vor Angriffen auf Unified-Communication-Systeme böte nach Ansicht der Experten das Verschlüsseln der Audio- und Videodaten. Nach Ansicht von Ostrom und Sambamoorthy nutzt in der Praxis aber lediglich nur ein von 20 Unternehmen die meist von Haus aus vorhandenen Sicherheitsoptionen der UC-Infrastruktur.
Quelle : www.heise.de (http://www.heise.de)
-
Im April hat der Wurm Conficker die Schlagzeilen noch beherrscht, nun ist es ruhig geworden. Anlässlich der Sicherheitskonferenz Black Hat 2009 fasst Mikko Hyppönen von F-Secure den Stand der Ermittlungen zusammen.
Auf der Sicherheitskonferenz Black Hat, die in der letzten Woche in Las Vegas stattgefunden hat, wollte Mikko Hypponen von F-Secure eigentlich berichten, welche Fortschritte bei der Untersuchung des Schädlings Conficker erreicht worden sind. Nach einem Hinweis seiner Kollegen von der Conficker Working Group hat Hypponen seinen Vortrag jedoch gekürzt, um die weiteren Ermittlungen nicht zu gefährden.
Mikko Hypponen ist Leiter der Malware-Forschung beim finnischen Antivirushersteller F-Secure und Mitglied der Conficker Working Group. Diese Gruppe besteht aus Sicherheitsfachleuten diverser Antivirus- und Sicherheitsfirmen. Bei der Anmeldung seines Vortrags (Präsentationen als PDF (http://www.blackhat.com/presentations/bh-usa-09/HYPPONEN/BHUSA09-Hypponen-ConfickerMystery-SLIDES.pdf)) zum Stand der Erkenntnisse über Conficker (Alias: Downadup, Kido) hatte Hypponen vor sechs Monaten angenommen, dass Conficker im Juli 2009 längst Geschichte sein würde. Doch weit gefehlt - die Conficker-Gang ist noch in Freiheit und das Conficker-Botnet wächst weiter.
Klar scheint zu sein, dass die Macher von Conficker in der Ukraine zu suchen sind. Darauf weist etwa ein früherer Wurm hin, der die gleiche Handschrift trägt. Dieser vermied es Rechner in der Ukraine zu infizieren, um nicht die ukrainische Polizei auf den Plan zu rufen.
Hypponen offenbarte einige technische Details über Conficker, die die Conficker Working Group in den letzten Monaten heraus gefunden hat. So ist Conficker eines der ersten Programme überhaupt, das den neuen Standard MD6 für kryptografische Prüfsummen benutzt. Etwa vier Wochen nach Fertigstellung des Standards wurde MD6 in Conficker.B integriert. Auch ein Sicherheits-Update für MD6, das im Februar 2009 veröffentlicht wurde, haben die Conficker-Programmierer 1:1 in spätere Versionen übernommen.
Das Conficker-Botnet ist recht autonom konzipiert. Es benutzt P2P-Techniken, die ohne zentralen Kommando-Server auskommen. Der Schädling breitet sich weiter aus und vergrößert das Botnet täglich, ohne dass die Conficker-Gang etwas dafür tun muss. Schätzungen der Conficker Working Group gehen von mehr als fünf Millionen Zombie-Rechnern aus. Das Botnet wird jedoch derzeit nicht genutzt. Möglicherweise haben die Täter es längst sich selbst überlassen und bauen ein neues Botnet auf, das weniger Aufmerksamkeit erregt.
Auf der Website der Black Hat Konferenz (http://www.blackhat.com/) finden Sie die Materialien zu den meisten Vorträgen zum Download.
Quelle : www.tecchannel.de (http://www.tecchannel.de)
-
Vor manipulierten und falschen Geldautomaten wird schon lange gewarnt. In Las Vegas haben Kriminelle jetzt einen kompletten Automaten im Riviera Hotel aufgestellt. Die Fälschung wurde jedoch schnell entdeckt, im Hotel war gerade eine Hacker-Konferenz.
Dass Geldautomaten von Kriminellen manipuliert werden, um die Karten auszulesen und die eingegebene PIN zu erhalten, ist nichts Neues. Laut unseren Schwesterpublikation PC World fanden die Kriminellen für den gefälschten Automaten im Riviera Hotel einen Platz, der von Sicherheitskameras nicht eingesehen werden konnte.
Dabei hatten sie aber selbst übersehen, dass gerade in diesem Hotel wie jedes Jahr die Hackerkonferenz Defcon stattfinden würde, bei der über 8000 Sicherheitsexperten teilnahmen. Einem der Veranstalter kam der Automat sofort seltsam vor und eine Untersuchung mit einer Taschenlampe ergab, dass sich im Inneren des „Geldautomaten“ nur ein PC befand. Die informierte Polizei nahm das Gerät anschließend mit.
Quelle : www.tecchannel.de (http://www.tecchannel.de)
-
In Kürze wird wieder der jährliche "Pwn2Own"-Contest stattfinden, bei dem Sicherheitsexperten versuchen, bestimmte Geräte erfolgreich anzugreifen. Organisator Aaron Portnoy wagte nun einige Prognosen, welcher Browser und welches Smartphone als erstes fallen.
Der vom Sponsor 3Com TippingPoint organisierte Wettbewerb soll am 24. März beginnen. Den erfolgreichen Hackern winken insgesamt Preise von 100.000 US-Dollar (umgerechnet knapp 74.000 Euro). Ein Teil des Wettbewerbs befasst sich mit dem Hacken von Webbrowsern. Aktuelle Versionen von Chrome, Firefox, Internet Explorer (IE) sowie Safari - unter Windows 7 oder Mac OS X - bieten sich den Teilnehmern als Ziel an. Daneben werden Smartphones - eines der zunehmend wichtiger werdenden Sicherheits-Themen des letzten Jahres - Thema sein. Die Teilnehmer können ihre Hacker-Fähigkeiten am Apple iPhone 3GS, Blackberry Bold 9700, einem Nokia-Telefon unter Symbian S60 sowie einem Motorola - wahrscheinlich einem unter Android laufenden "Droid" - erproben.
Portnoy hatte ursprünglich die Prognose getroffen, von den Browsern werde Safari als erstes gehackt werden. Zu den Smartphones hatte er keine Prognose abgegeben. Das revidierte er nun. Er habe mit den teilnehmenden Wissenschaftlern gesprochen. Einer von ihnen, ein Mitglied der TippingPoint "Zero Day Initiative" (ZDI) sei "bewaffnet und bereit", den Internet Explorer erfolgreich anzugreifen, erklärte Portnoy. Daher gehe er davon aus, dass Microsofts Webbrowser als erstes fallen werde. Der verwendete Exploit sei "vom technischen Standpunkt in der Tat beeindruckend," schrieb der Contest-Veranstalter in einer E-Mail. Durch bestimmte Sicherheitsmaßnahmen in Windows 7 sei es schwierig, den IE 8 erfolgreich anzugreifen. Zudem ist am ersten Tag des Wettbewerbs das Ausnutzen von Schwachstellen in Third-Party-Plugins verboten.
Am zweiten Tag, so Portnoy, werde dann auch Apple Safari erfolgreich angegriffen werden - vor allem deshalb, weil der Experte Mac OS 10.6 als weniger sicher einschätzt als Windows 7. Für am sichersten hält Portnoy Google Chrome. Dieser werde als einziger Browser alle drei Tage unbeschadet überstehen, vermutet Portnoy. Als Grund nennt er vor allem die verwendete "Sandbox"-Technologie.
Bezüglich der Smartphones vermutet Portnoy, dass das iPhone als einziges erfolgreich gehackt werden wird - unter anderem deswegen, weil dieses die teilnehmenden Wissenschaftler am meisten interessiert.
Aktuelle Informationen zum Pwn2Own-Wettbewerb wird es auch bei Twitter (http://exit.gulli.com/url/http://twitter.com/thezdi) geben.
Quelle : www.gulli.com
-
Bereits am ersten Tag mussten die am weitesten verbreiteten Browser dran glauben: Firefox, Internet Explorer 8, beide auf Windows 7 und Safari auf Mac OS X wurden über bislang unbekannte Sicherheitslücken gehackt. Das Top-Ereignis war jedoch, dass es Vincenzo Iozzo and Ralf-Philipp Weinmann erstmals gelang, im Rahmen des Pwn2own-Wettbewerbs ein iPhone zu knacken.
Beim Hacking-Spektakel Pwn2own auf der Sicherheitskonferenz Cansec West winken neben Ruhm und Ehre auch lukrative Preise für einen erfolgreichen Hack. Der muss darin bestehen, dass man übers Netz Code einschleust und ausführt: Neben Geldprämien von insgesamt 100.000 Euro darf man das geknackte Gerät behalten. Die Rechte an den Details der präsentierten Sicherheitslücken gehen dafür an den Veranstalter ZDI über, der sie an die jeweiligen Hersteller weitergeben will.
Iozzo und Weinmann navigierten den Safari-Browser des iPhones auf eine vorher präparierte Web-Seite, die dann über eine Sicherheitslücke die SMS-Datenbank des Handys klaute. Das schwierigste daran war offenbar, Schadcode an Apples Code-Signing vorbei zu schleusen. Die Hacker umgingen diese Sperre durch geschicktes Aufrufen bereits vorhandenen Codes (siehe auch: Neue Exploittechnik trickst Speicherschutz aus (http://www.dvbcube.org/index.php?topic=28529.0)).
Newcomer Peter Vreugdenhil gelang es, den Internet Explorer 8 auf Windows 7 trotz ALSR und DEP zu knacken, dem Vorjahres-Star Nils gelang das Kunststück mit Firefox und Pwn2own-Veteran Charlie Miller heimste wieder einmal ein MacBook Pro ein, indem er eine seiner gesammelten 0day-Lücken in Apples Safari opferte. An Googles Chrome versuchte sich niemand.
Allerdings sollte man mit Schlussfolgerungen hinsichtlich der Sicherheit der einzelnen Produkte vorsichtig sein. Pwn2own ist vor allem ein Spektakel. Niemand weiß, wer wie viel Zeit damit verbracht hat, Sicherheitslücken zu finden und passende Exploits zu bauen. So erklärte Charlie Miller gegenüber heise Security, dass er sich von vorn herein auf Safari festgelegt habe. Ob er in der gleichen Zeit auch einen Exploit in Chrome hätte finden können oder nicht, sei reine Spekulation. Er sei zu der Auffassung gelangt, dass Pwn2own keine Aussagen darüber erlaube, welches Produkt am sichersten sei. Jedenfalls geht die Show mit gelockerten Regeln weiter.
Quelle : www.heise.de
-
Nach dem Aufzeigen einer massiven Sicherheitslücke beim Pwn2Own-Contest verteidigt Microsoft seinen Browser, den Internet Explorer. Parallel bemüht man sich im Rekordtempo um die Behebung von Sicherheitslücken.
Neben Firefox und Safari wurde beim Pwn2Own-Wettbewerb auch der Internet Explorer gleich am ersten Tag gehackt (gulli:News berichtete). Auch die in Windows 7 integrierten Sicherheitsfeatures ASLR (Address Space Layout Randomization) und DEP (Data Execution Prevention) wurden dabei von Sicherheitsexperte Peter Vreugdenhil erfolgreich überwunden.
In seinem offiziellen Blog schreibt Microsoft, diese Sicherheitstechniken seien dazu da, Angriffe zu erschweren und zu verlangsamen. Sie seien nicht dazu konzipiert, einem gezielten Angriff ewig standzuhalten. In dieser Funktion seien ASLR und DEP sehr effektiv - sie gäben den Verantwortlichen mehr Zeit, Sicherheitslücken zu stopfen, bevor sie erfolgreich ausgenutzt werden.
In dem Bemühen, seinen Browser sicherer zu machen, wird Microsoft am morgigen Dienstag sogar einen außerplanmäßigen Patch veröffentlichen. Dieser soll insgesamt neun Sicherheitslücken bei verschiedenen Versionen des Internet Explorer beheben. Darunter ist ein Zero-Day-Angriff, der beim IE 6 und 7 das Ausführen von Schadcode ermöglicht, sofern ein anderes Betriebssystem als Windows 7 verwendet wird. Experten vermuten, dass diese Sicherheitslücke der Grund ist, dass Microsoft den Patch nicht erst am nächsten "Patchday" veröffentlicht. Sie wird nämlich bereits - mit zunehmender Häufigkeit - aktiv ausgenutzt.
Quelle : www.gulli.com
-
Auf der letzte Woche zu Ende gegangenen Hacker-Konferenz Black Hat Europe zeigte der griechische IT-Sicherheitsexperte Thanassis Giannetsos das Tool Sensys zum Testen der Sicherheit von Sensornetzen. Es kann die Kommunikation ausspähen und sogar Schadcode in Sensormodule einschleusen.
Sensornetze finden sich zur Überwachung von Zuständen etwa im militärischen Umfeld, in Gebäuden, bei der Überwachung von Tieren oder im Rahmen kritischer Infrastrukturen wie dem Smart Grid. In erster Linie ist Sensys ein Sniffer, der alle umliegenden Netzwerk-Knoten erfasst und grafisch darstellt. Das Tool erkennt auch, welche Knoten in dem sich dynamisch verändernden Mesh-Netzwerken mit welchen anderen Knoten verbunden sind. Den Datenaustausch der Knoten schneidet die Software ebenfalls mit.
Für seine Live-Demonstration verwendete Giannetsos die "Wireless Personal Area Networks"-Sensormodule (WPAN) Tmote Sky des Herstellers Sentilla (baugleich mit TelosB von Crossbow). Wie der Sicherheitsexperte gegenüber heise Security erläuterte, erfasst Sensys jedoch auch andere Arten von Sensoren und deren Datentransfers, wie zum Beispiel per Zigbee kommunizierende Hardware.
Sensys kann jedoch nicht nur sniffen, es kann auch aktiv in die Netzwerke eingreifen und Pakete injizieren. Dafür sei es laut Giannetsos wichtig, dass das vom Netzwerk verwendete Routingprotokoll für die Routing-Kosten-Metrik Berechnungen zur Verbindungsqualität verwendet. Andere Arten von Routingprotokollen lassen sich laut Giannetsos aber ebenfalls leicht implementieren.
Ein mögliche Angriffsvariante: Die Software veranlasst die Sensoren, sich mit dem vom Angreifer kontrollierten Knoten zu verbinden ("Sinkhole-Attacke"). Dazu muss lediglich ein Sensor per USB mit dem Angreifer-Notebook gekoppelt werden. Dieser Sensor gaukelt den anderen Knoten vor, dass er den geringsten Abstand und somit die niedrigsten Kosten zur Basisstation oder einem direkt mit der Station verbundenen Knoten (Parent) hat und der beste Weg ist, um Daten an die Basis zu schicken. Replay- oder DoS-Attacken sind mit Sensys ebenfalls möglich.
Der Clou an Sensys ist jedoch seine Fähigkeit, Programm-Updates an die Sensoren per "Over the Air Programming" (OAP) zu schicken. Fehler im Speicherschutz lassen sich dann ausnutzen, um Code einzuschleusen und auszuführen, der nichts mit dem eigentlichen Softwareimage des Sensors zu tun hat.
Hierfür spielt es keine Rolle, welche Funktechnik das Netzwerk verwendet. Im Prinzip lassen sich demnach auch Zigbee-basierte Netze attackieren. Die zugrunde liegende Exploit-Technik hat der Sicherheitsspezialist für Sensormodule Travis Goodspeed am Tmote Sky bereits 2008 demonstriert (PDF). Sensys soll jedoch verschiedene Hardware-Plattformen unterstützen können.
Es sei dem Forscher gelungen, sich selbst verbreitenden Code auf den Sensor zu laden. Einmal ausgeführt, überträgt der Sensor den Schadcode auf alle umliegenden, mit ihm verbundenen Sensoren: ein Wurm im Sensornetzwerk. Wie Giannetsos im Gespräch mit heise Security bestätigte, wird er Senys in Kürze auf seiner Webseite zum Download anbieten.
Erst kürzlich hatte der Entwickler Joshua Wright angekündigt, die Open-Source-Sammlung KillerBee für Linux zu veröffentlichen, die zum Testen der Sicherheit von Zigbee-Netzwerke gedacht ist.
Quelle : www.heise.de
-
Der US-Amerikaner Craig Heffner wird im Rahmen der kommenden Black Hat Sicherheitskonferenz eine beunruhigende Sicherheitslücke enthüllen, berichtet 'Forbes (http://blogs.forbes.com/firewall/2010/07/13/millions-of-home-routers-vulnerable-to-web-hack/)'. Zahlreiche Router sollen sich mit einer von ihm entwickelten Software hacken lassen.
Diesbezüglich geht es um Router die beispielsweise von Firmen wie Dell oder Linksys hergestellt werden und im heimischen Umfeld zum Einsatz kommen. Heffner bedient sich diesbezüglich einer Methode, die seit vielen Jahren diskutiert und trotz vieler Patches offenbar noch immer nicht vollständig ausgebessert wurde. Gemeint ist damit die "DNS Rebinding"-Technik.
Heffner war es offenbar möglich, herkömmliche Sicherheitssysteme in diesem Zusammenhang zu unterwandern. Der Angriff und die Technologie an sich sind nicht neu.
Erste Erfolge konnte der Sicherheitsexperte innerhalb von kurzer Zeit verzeichnen. An über 30 bekannten Routern hat er seine Methode getestet und bei etwa der Hälfte der Systeme sein Ziel erreichen können. Mit konkreten Informationen ist im Rahmen der Black Hat Konferenz zu rechnen.
Sollten Nutzer auf eine entsprechend präparierte Webseite gelangen, so könnten sie durch den bloßen Besuch die Kontrolle über ihre Geräte verlieren. In einem nächsten Schritt könnten die Besucher auf beliebige Webseiten umgeleitet werden. Denkbar wäre es überdies, dass bestimmte Informationen aus den privaten Netzen ausgelesen werden.
Quelle : http://winfuture.de
-
Barnaby Jack hat auf der diesjährigen Black-Hat-Konferenz seinen Vortrag "Jackpotting Automated Teller Machines (http://www.blackhat.com/html/bh-us-10/bh-us-10-briefings.html#Jack)" nachgeholt, den sein ehemaliger Arbeitgeber Juniper Networks im Vorjahr nach der Intervention eines Automatenherstellers zurückgezogen hatte. Jack, inzwischen als Forschungsleiter bei IOActive Labs tätig, zeigte Medienberichten zufolge anhand zweier freistehender Geldautomaten der US-Hersteller Tranax und Triton das Ergebnis seiner Bemühungen: Nach einem Mausklick auf den Jackpot-Button seiner selbstentwickelten Software "Dillinger" begann einer der Automaten Banknoten auszuspucken, die sich kurz darauf vor der Geldmaschine anhäuften.
Beim Tranax-Automaten nutzte Jack eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion aus, die es ihm erlaubte, seine modifizierte Firmware ohne Passwortabfrage aus der Ferne in das Gerät einzuspielen. Auch ein Rootkit namens Scrooge hat der Sicherheitsexperte entwickelt. Es soll nahezu unsichtbar sein, bis man eine spezielle Tastenfolge eintippt oder eine bestimmte Magnetkarte in den Automaten schiebt.
In die Maschine von Triton konnte Jack nicht über externe Schnittstellen eindringen. Er entdeckte jedoch, dass zwar der eigentliche Tresor gut gesichert ist, man die PC-Hardware des Geldautomaten aber mit einem Generalschlüssel erreichen kann. Für den Schlüssel habe er im Internet 10,78 US-Dollar gezahlt. Mit einem präparierten USB-Stick gelang es ihm auch dort, modifizierte Firmware einzuspielen.
Auch Geräte anderer Hersteller soll man theoretisch auf diesem Wege manipulieren können. In vielen Geldautomaten kommt Windows CE zum Einsatz, das den Zugriff auf das Geldscheinausgabemodul über eine serielle Schnittstelle kontrolliert. Beide Automatenhersteller haben die Sicherheitslücken bereits geschlossen. Triton bietet seinen Kunden inzwischen Austauschschlösser mit individuellen Schlüsseln an, wie der Vize-Entwicklungschef der Firma auf der Konferenz laut einem Bericht von CNET verkündete.
Quelle : www.heise.de
-
Auch in diesem Jahr wurden auf der Black-Hat-Konferenz in Las Vegas wieder die Pwnie Awards verliehen, die Entdecker von Sicherheitslücken in verschiedenen Kategorien auszeichnen (http://pwnies.com/winners/). Den Preis in der Kategorie "Bester server-seitiger Fehler" ging in diesem Jahr an Meder Kydyraliev für eine Schwachstelle (http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html) im Apache-Struts2-Framework. Mit einer HTTP-Anfrage mit fünf speziellen Parametern gelang es ihm, beliebigen Java-Code auf dem Server auszuführen.
Die "beste client-seitige Lücke" entdeckte Sami Koivu: Mit seinem Exploit (http://slightlyrandombrokenthoughts.blogspot.com/2010/04/java-trusted-method-chaining-cve-2010.html) hat er das Sicherheitsmodell von Java unterwandert und konnte so Code mit den Rechten des angemeldeten Anwenders ausführen. Dionysus Blazakis hat nach Meinung der Jury mit seinem Paper "Flash Pointer Inference and JIT Spraying" die innovativste Forschungsarbeit geleistet (http://www.semantiscope.com/research/BHDC2010/BHDC-2010-Paper.pdf).
Wenig Freude dürfte Absolute Software die Auszeichnung in der Kategorie "Faulste Herstellerreaktion" (Lamest Vendor Response) bereiten: Das Unternehmen reagiert auf die Meldung einer Sicherheitslücke (http://www.wired.com/threatlevel/2010/05/lanrev/#ixzz0tgFpE1xK) in der Software LANRev (http://www.heise.de/meldung/WebcamGate-Ueberwachungsmassnahmen-der-Schulbehoerde-fragwuerdig-993220.html) sinngemäß mit den Worten: "Ist es theoretisch möglich, dies auszunutzen? Natürlich, aber bisher hatte noch keiner unserer Kunden ein entsprechendes Problem gemeldet. Sobald ein Kunde seine Bedenken äußert, werden wir ihm einen Patch liefern."
Microsoft wurde in der Kategorie "Most Epic FAIL" geehrt. Ein Fehler (http://www.heise.de/meldung/Sicherheitsfunktion-des-Internet-Explorer-8-unsicher-868319.html) im XSS-Filter (Cross Site Scripting) des Internet Explorer 8 ermöglichte genau das, was der Filter verhindern sollte: Cross Site Scripting – auf Seiten, die eigentlich sicher waren.
Quelle : www.heise.de
-
Der Kryptographie-Spezialist und Hacker Karsten Nohl hat bei der Sicherheitskonferenz Black Hat gezeigt, wie sich GSM-Telefonate mit Standard-Hardware entschlüsseln lassen. Die entsprechende Software stellt seine Berliner Firma Security Research Labs frei zur Verfügung.
(http://www.golem.de/1007/76875-3243-srl.png)
Bereits auf dem Hacker-Kongress 26C3 des Chaos Computer Clubs hatte Nohl zusammen mit Chris Paget auf einige grundlegende Sicherheitsprobleme von GSM hingewiesen. Mittlerweile stellt Nohl mit seiner Firma Security Research Labs die Software bereit, mit der sich die Verschlüsselung von GSM-Telefonaten mit großer Wahrscheinlichkeit mit preiswerter Hardware knacken lässt.
Dabei werden verschiedene freie Werkzeuge kombiniert: Gnuradio kommt zur Aufzeichnung verschiedener GSM-Kanäle zum Einsatz, der GSM-Receiver von Airprobe dekodiert die Kontrollsignale und, sofern keine Verschlüsselung verwendet wird, auch den die Sprachdaten.
Wird der GSM-Traffic mit A5/1 verschlüsselt, kommt das von Security Research Labs veröffentlichte Werkzeug Kraken zum Einsatz. Damit lässt sich der von A5/1 verwendete geheime Schlüssel aus den aufgezeichneten GSM-Daten extrahieren. Sind zwei verschlüsselte, aber im Klartext bekannte Nachrichten vorhanden, findet das auf einem normalen PC laufende Kraken in 90 Prozent der Fälle den geheimen Schlüssel. Und das in wenigen Sekunden.
Dazu greift Kraken auf sogenannte Rainbow-Tabellen zurück, die zuvor in rund zwei Monaten berechnet wurden. Sie umfassen 40 Tabellen und insgesamt etwa 2 TByte an Daten.
Wie der Angriff im Detail abläuft, erläutert Nohl in seinem Aufsatz Attacking phone privacy (http://srlabs.de/blog/wp-content/uploads/2010/07/Attacking.Phone_.Privacy_Karsten.Nohl_.pdf). Frank Stevenson erläutert in einer E-Mail (http://lists.lists.reflextor.com/pipermail/a51/2010-July/000683.html), wie sich Kraken einrichten lässt. Laut Stevenson ist geplant, Kraken um GPU-Beschleunigung für ATI-Karten zu erweitern, was das Knacken der Verschlüsselung weiter beschleunigen soll.
GSM-Hacker Harald Welte weist zwar auf einige Einschränkungen des Angriffs hin, stellt aber fest, dass - anders als von der GSM-Association angegeben - für den Angriff anfällige GSM-Zellen häufiger zu finden sind, als zu erwarten. Mindestens zwei Mobilfunkanbieter betrieben entsprechende Mobilfunkzellen in Berlin.
Karsten Nohl weist auch auf Abwehrmethoden hin, die einen entsprechenden Angriff deutlich schwieriger machen würden, bislang aber kaum Verbreitung gefunden haben. Letztendlich sei festzustellen, so Nohl: Sicherheitsmaßnahmen haben eine gewisse Lebenszeit und und die A5/1-Verschlüsselung in GSM hatte ihre Lebenszeit überschritten.
Eine Alternative sei der Umstieg auf das ebenfalls für GSM spezifizierte Verschlüsselungssystem A5/3, das auch bei UMTS zum Einsatz kommt, dessen Einführung aber recht teuer wäre.
Quelle : www.golem.de
-
General Michael Hayden, ehemaliger Direktor der Geheimdienste CIA und National Security Agency (NSA), hat den Cyberspace nach Luft, Wasser, Boden und Weltall als neues Gebiet der Kriegsführung ausgemacht. Auf der Sicherheitskonferenz Black Hat in Las Vegas forderte er die Staaten weltweit auf, den Krieg im Cyberspace zu ächten. So sollten DDoS-Attacken absolut verboten sein. Beispielsweise könne die Infiltration jedes Finanznetzes so schädlich für das Finanzsystem sein wie chemische Waffen. Länder, von denen Cyber-Angriffe ausgehen, sollten dafür verantwortlich gemacht werden, forderte Hayden.
Zurzeit gebe es keinen echten Schutz vor Angriffen aus dem Cyberspace, sagte Hayden. Die "Cyber-Flanke" sei offen. Alles, was online verfügbar sei, könne attackiert werden. Das Internet sei flach wie die norddeutsche Tiefebene angelegt und begünstige daher Invasionen. Das Internet benötige – in Analogie zum Krieg in der realen Welt – Flüsse und Berge, geografische Grenzen, die bei der Verteidigung helfen. Zudem sei es nicht möglich, die Angreifer eindeutig zu identifizieren. Es müsse also mehr getan werden, um die Verteidigung zu stärken und die Angreifer zur Rechenschaft ziehen zu können.
Die US-Regierung scheute bisher vor internationalen Regelungen zur Kriegführung im Cyberspace zurück. Ein neuer Kurs deutete sich durch Äußerungen von General Keith Alexander, Direktor des US-Geheimdienst National Security Agency, an. Anfang Juni sagte er, die Forderung Russlands nach einem UN-Abkommen für Abrüstung im Cyberspace sei möglicherweise der Anstoß für eine internationale Debatte.
Diesen Schritt begrüßte Hayden in seinem Konferenz-Vortrag. Er sei längst überfällig, allerdings sieht er die G8 oder G20 als ein besseres Forum für das Thema an als die Vereinten Nationen. Dort seien Länder versammelt, die einiges zu verlieren hätten. Bisher gebe es kein Land auf der Welt, das gelobt habe, keine Cyberspionage zu betreiben. Nicht nur die Chinesen betrieben Cyberspionage, auch die USA seien gut darin. Auf der anderen Seite verbringe sas neue "Cyber Command" des Verteidigungsministeriums 90 Prozent seiner Zeit damit, die IT-Infrastruktur der US-Regierung zu schützen.
Quelle : www.heise.de
-
Black Hat und Def Con sind so etwas wie Frühwarnsysteme der IT-Welt: Auf den Kongressen erfährt die Branche, wo die aktuellsten Gefahren für die Technikwelt lauern. Manche Vorträge sind so brisant, dass sie umgehend Sicherheitswarnungen auslösen.
Las Vegas/Hamburg/Bonn - Hackerkongress ist ein irreführender Begriff: Veranstaltungen wie Black Hat oder Def Con in Las Vegas sind keine subversiven Treffen anonym und heimlich hackender Zeitgenossen, sondern weltweit beachtete Events, auf die nicht nur IT-Security-Experten gespannt schauen. Auch Großunternehmen und Organisationen präsentieren dort längst Konzepte und Lösungen - oder suchen danach. Vor allem aber präsentiert dort die Elite der IT-Sicherheitsexperten die neuesten Risiken für die digitale Welt.
Diesmal machten manche Fachleute schon Minuten nach ihren Präsentationen weltweit Schlagzeilen. So wie "Barnaby Jack", der öffentlich demonstrierte, wie er nicht nur im direkten Zugriff auf einen Geldautomaten, sondern sogar im telekommunikativen Zugriff darauf die Geldmaschine dazu bringen kann, Geld zu spucken wie ein Spielautomat, an dem man einen Gewinn landet. Barnabys Hack bezog sich konkret auf zwei Fabrikate, an denen er potentiell kostspielige Exempel statuierte, betrifft aber wohl auch Maschinen anderer Typen.
Denn ein Kernproblem, erklärte McAfees IT-Securityexperte Toralv Dirro am Rande der Konferenz gegenüber der "PC World", teilten ja nicht nur Geldautomaten, sondern viele wichtige Maschinen im öffentlichen Raum und Einsatz: Innen werkeln ganz normale, oft sogar überalterte Computer mit Standard-Betriebssystemen. Deshalb sei Barnabys Hack auch mehr als nur ein erfolgreiches Abzocken einer Bankmaschine: Es sei eine Warnung, wie empfindlich manche sicherheitskritische Infrastruktur in Wahrheit ist.
Vernetzung heißt auch, Zugang zu schaffen
Das war in diesem Jahr auch Thema zahlreicher anderer Vorträge. Immer stärker vernetzt sich die Welt, wird damit aber nicht unbedingt sicherer: Systeme, die dafür einst gar nicht gedacht waren, werden über Netzwerke zusammengeschlossen und so auch von außen erreichbar - ein nicht zu unterschätzendes Risiko für das öffentliche Leben. Je komplexer Systeme werden, desto größer die Gefahr, dass Sicherheitslücken übersehen werden. Wenn dann auch noch nur leidlich kompatible Systeme miteinander vernetzt werden, bedeutet der Einbruch an schwächster Stelle potentiell auch den Zugriff auf die stärker gesicherten.
Zumal Vernetzung auch dafür sorgt, dass aus alten, lange stabil laufenden Strukturen plötzlich potentiell bedrohte werden: Jonathan Pollet nahm in seinem Vortrag etwa den Trend zu intelligenten Stromnetzen und sogenannten "Smart Meter" ("Intelligente Stromzähler") aufs Korn. Dass man solche Systeme hacken könnte, um Strom zum Sonderpreis zu beziehen, kann man dabei noch als niedlich verbuchen. Dass von Elektrizitätsunternehmen Messegeräte verbaut werden, die bekannte Sicherheitsprobleme aufweisen, dagegen kaum: Tech-Alpträume wie der Hack-Angriff auf das Stromnetz werden damit ein gutes Stück plausibler.
Mit dem Stuxnet-Wurm tauchte in der vergangenen Woche erstmals ein Schädling auf, der dezidiert auf Kontrollsysteme für kritische Infrastrukturen zielt. Mehrere Experten bejahten die Frage, ob es bereits konkrete offene Sicherheitslücken gebe, über die sich kritische Infrastrukturen attackieren ließen.
Abhörprogramm für Handys
Der Kryptografie-Experte Karsten Nohl von der Berliner Firma Security Research Labs zeigte eine Airprobe genannte Schnüffel-Software, mit der Gespräche in GSM-Funknetzen unbemerkt aufgezeichnet werden können. Für die Entschlüsselung der Gesprächsmitschnitte sind allerdings weitere Hilfsmittel nötig.
Nohl wies darauf hin, dass bereits seit zwei Jahren eine Lösung für die von Airprobe ausgenutzte Sicherheitslücke existiere, diese aber nur von wenigen Mobilfunkbetreibern eingesetzt wird. Ein nur schwer begreiflicher Umstand, da sowohl die Mobilfunknetze in Deutschland und weiten Teilen Europas als auch die von AT&T und T-Mobile in den USA nach dem GSM-Standard arbeiten - potentiell also zig Millionen Handynutzer über die von Nohl genutzte Lücke angreifbar sind.
Im Gegensatz zu Sicherheitslücken in Betriebssystemen wie Windows, für die man als Anwender zumindest insofern selbst aktiv werden kann, dass man bereitstehende Patches herunterlädt und installiert, besteht diese Möglichkeit bei GSM-Netzen nicht. Immerhin aber haben Handy-Kunden mit Airprobe nun die Möglichkeit, selbst auszuprobieren, ob ihre Gespräche aufgrund des fehlenden Schutzes mitgehört werden können. Security Research Labs will das Programm über das Internet frei verbreiten.
Angriffsziel Android
Erst vor wenigen Tagen wurde bekannt, dass eine Anwendung für Android-Handys die Nutzerdaten ausspäht und an einen Server in China sendet. Wie die Experten von Lookout, einer Firma für Handy-Sicherheitssoftware, auf der Black-Hat-Konferenz erklärten, war die als Sammlung von Bildschirmhintergründen getarnte Schadsoftware bereits millionenfach aus dem Android-Market heruntergeladen worden. Sobald sie installiert wurde, las sie Daten wie die Handy-Nummer und das Voicemail-Passwort aus dem Handy-Speicher aus und schickte diese an die Web-Seite www.imnet.us, die auf einen Eigentümer in der chinesischen Industriestadt Shenzhen registriert ist.
Anthony Lineberry, einer der Lookout-Experten, erklärte dazu in einem Vortrag, dass es ihm problemlos gelungen sei, sich über eine hinlänglich bekannte Linux-Sicherheitslücke einen sogenannten Root-Zugang zu diversen Android-Handys zu verschaffen. Ein solcher Zugang, so Lineberry, sei mit dem God-Mode vergleichbar, den man über Tricks in manchen Spielen aktivieren kann, um seiner Spielfigur gottähnliche Macht zu verschaffen. Man könne damit so ziemlich jede beliebige Funktion auf dem Gerät ausführen.
Die dafür ausgenutzte Lücke mit der Bezeichnung CVE-2009 1185 sei bereits seit einem Jahr bekannt, bisher aber noch nicht abgesichert worden, erklärte der Experte gegenüber der "Network World" - Linux-Fans, die daran glauben, ihr Open-Source-System sei gegen solche Dinge immun, zumindest aber stets schnell geflickt, werden so etwas ungern hören.
Im Gegenteil: Die entsprechende Schadsoftware auf ein Handy einzuschleusen werde durch die Mechanismen des Android Market besonders leicht gemacht, so Lineberry, weil dort quasi jedermann ungeprüft Software einstellen kann, auch wenn diese nur als hübsche Hülle für eine Malware dient. Als sicherer beurteilt Lineberry dagegen Apples System, bei dem jede App eingehend überprüft wird, bevor sie für den App Store freigegeben wird.
Der Lookout-Experte sieht keine Möglichkeit, derartige Manipulationen völlig zu verhindern. Selbst wenn die von ihm genutzte Sicherheitslücke gestopft würde, könnten Kriminelle eine andere Lücke ausfindig machen und ihre Schadsoftware über eine andere Tarnsoftware in den Market einschleusen. Letztlich könne er Anwendern nur raten, nicht jede App unbesehen zu installieren und vor allem dann skeptisch zu werden, wenn eine App beispielsweise Zugriffsrechte auf die Internetverbindung des Handys einfordert.
"Cross Site Request Forgery" - Angriff auf den Heimrouter
Eine andere Präsentation demonstrierte ganz nebenbei, wie genau selbst deutsche Behörden inzwischen den Nachrichtenfluss von Hacker-Events wie dem Black-Hat-Kongress beobachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte nur Stunden, nachdem eine akute Sicherheitslücke demonstriert wurde: Die Behörde warnt nun vor Angriffen auf private Internet-Router.
Eine neue Angriffstechnik mit der Bezeichnung "Cross Site Request Forgery" mache es möglich, den Router gewissermaßen von innen zu manipulieren, zitierte die Behörde am Freitag einen Black-Hat-Vortrag. Der Angreifer könne dann Passwörter, E-Mails oder sonstige private Daten ausschnüffeln sowie den Internetzugang für Angriffe auf andere Ziele kapern.
Der Sicherheitsexperte Craig Heffner hatte in Las Vegas gezeigt, wie sich die Technik für die Interpretation von Internetadressen im Domain Name System so manipulieren lässt, dass die Schutzmaßnahmen der Web-Browser ausgehebelt werden können. Bestehende Zugriffsbeschränkungen des Routers werden dann umgangen. In seinem Vortrag mit dem Titel "How to Hack Millions of Routers" (Wie man Millionen von Routern hackt) erklärte Heffner, dass er ein Software-Werkzeug entwickelt habe, das den Angriffsvorgang automatisiere.
Angesichts dieser Möglichkeiten empfiehlt das BSI "unbedingt eine sichere Konfiguration des Heimrouters". Im Einzelnen sollte man:
* ein sicheres individuelles Kennwort für den Router verwenden (das Anfangspasswort sollte bei der ersten Einrichtung des Geräts geändert werden)
* während der Konfiguration des Routers im Browser keine anderen Webseiten aufrufen
* nach Abschluss des Vorgangs den Browser schließen und den Router neu starten
* die Firmware des Routers (also die integrierte Gerätesoftware) regelmäßig auf Aktualität überprüfen und bei Bedarf aktualisieren - ein Passwort für das drahtlose Funknetz (W-Lan) einrichten und dabei den Sicherheitsstandard WPA2 verwenden.
Eigentlich solle man also ganz normale, fast profane Sicherheitsregeln beachten. Symptomatisch ist: Das Gros aller Sicherheitsprobleme hängt an altbekannten Systemschwächen - oder daran, dass Anwender oder sogar IT-Arbeiter sich nicht genügend darum kümmern, die Sicherheitsmaßnahmen zu ergreifen, die möglich sind. In 96 Prozent aller Fälle von Infiltrationen oder anderen Schäden durch Schadsoftware im Jahre 2009, machte in dieser Woche das IT-Sicherheitsunternehmen Verizon klar, seien die Schäden vermeidbar gewesen, weil längst Sicherheitslösungen vorlagen.
Solche Chancen lassen sich Kriminelle oder kreative Codehacker nicht entgehen.
Quelle : www.spiegel.de
-
Auf der Hackerkonferenz Defcon hat Chris Paget erstmals seinen selbst gebauten IMSI-Catcher zum Belauschen von GSM-Netzen öffentlich auf ein Mobilfunknetz losgelassen. Der britischen Hackers ließ seine Konstruktion, bestehend aus einer programmierbaren Funkhardware (USRP, Universal Software Radio Peripheral) und der Open-Source-Software OpenBTS, das Netz von AT&T nachahmen. Nach wenigen Minuten waren bereits über 30 Mobiltelefone mit seiner Basisstation verbunden. In früheren Demonstrationen – heise security konnte Paget bereits im Februar über die Schulter schauen – erzeugte der Hacker jeweils Netze mit Fantasienamen.
(http://www.heise.de/imgs/18/5/5/0/4/3/0/349d1831b8c64829.jpeg)
Bis zuletzt war unklar, ob Paget seine Demonstration so praxisnah gestalten kann. Erst kurz vor seinem Vortrag erreichte ihn eine lange Auflagenliste der FCC (Federal Communications Commission). Einer der zu erfüllenden Punkte war, dass die lediglich knapp 1500 Euro teure Hardware – kommerzielle IMSI-Catcher kosten mindestens einen sechs-, manchmal auch siebenstelligen Betrag – nicht auf einer Frequenz senden darf, die in den USA von Mobilfunknetzen verwendet wird. Also behalf er sich mit einem Trick: Ein Teil des in den USA für Amateurfunk reservierten Frequenzbandes überlappt mit den in Europa in Handynetzen üblichen Frequenzen. Nachdem moderne Handys mit allen vier gebräuchlichen Frequenzbändern (850 MHz, 900 MHz, 1800 MHz, 1900 MHz) zurechtkommen, verbanden sich die Endgeräte klaglos mit dem Funkmasten.
Zu Beginn der Vorführung ließ Paget die Hardware ein Funknetz mit der Kennung „Defcon18“ – von manchen iPhones nur mit der dahinter liegenden nummerischen Kennung „00101“ angezeigt – erzeugen, um die prinzipielle Funktionstüchtigkeit zu beweisen. Danach wechselte er den Namen auf „AT&T“. Durch Blick aufs Handy-Display war nicht mehr zu unterscheiden, ob es sich um ein legitimes oder ein bösartiges Funknetz handelt. Ironischerweise schreiben die US-Auflagen vor, dass eine von Funkamateuren betriebene Infrastruktur unverschlüsselt arbeiten muss.
Somit konnte das mit dem USRP verbundene Linux-Notebook alle über die Basisstation geführten Gespräche prinzipiell mitschneiden. Paget verzichtete natürlich darauf und zerstöre im Anschluss auch den USB-Stick, von dem er das Notebook gestartet hat. Um die von den gekaperten Handys aufgebauten Telefonate zum gewünschten Gesprächspartner zu leiten, verband Paget ein Mobiltelefon per USB mit dem Notebook. Das Gerät vermittelte die Gespräche dann per VoIP.
Möglich ist der komplette Angriff, da sich Mobiltelefone automatisch mit der Basisstation verbinden, die das kräftigste Funksignal ausstrahlt. Nachdem Pagets Aufbau im Zweifel immer näher an den Endgeräten ist als die Funkmasten der Netzbetreiber, gewinnt die Hacker-Hardware das Rennen. Simuliert wird ein 2G-Netz, um der bisher nicht geknackten 3G-Verschlüsselung aus dem Weg zu gehen. Nachdem selbst topmoderne Handys nach wie vor 2G-komptibel sind, machen sie das Herunterstufen einwandfrei mit. Dazu Paget: „Das ist, als würde ein PC versuchen, eine SSH-Verbindung aufzubauen und sich dabei automatisch auf Telnet zurückstufen lassen. GSM ist das Telnet unter den Mobilfunknetzen.“
Auch beim Lauschopfer eingehende Telefonate lassen sich abbilden. Die OpenBTS-Software liest dazu die IMSI des Opfers aus und schickt sie an das eigentliche Mobilfunknetz weiter. Das Netz reagiert mit der Anfrage, das Telefon – in diesem Fall die bösartige Basisstation – möge doch bitte den auf der SIM-Karte hinterlegten Secret Key übermitteln. Nachdem der Key nicht im Klartext auslesbar ist, müsste das Hacker-Equipment den vom Handy geschickten Key erst mit Hilfe von Rainbow Tables knacken. Paget geht davon aus, dass dies nur eine Verzögerung von wenigen Sekunden bedeuten würde. Noch ist eine solche Funktion nicht in OpenBTS implementiert. Chris Paget ist sich jedoch sicher, dass dies machbar ist.
Prinzipiell sieht der GSM-Standard vor, dass Handys bei unverschlüsselten Verbindungen eine Warnung anzeigen. Laut Chris Paget ist diese Option aber bei allen SIM-Karten durch das Setzen eines entsprechenden Bits deaktiviert. Die deutschen Netzbetreiber wussten auf Nachfrage auch nach längerer Recherche nichts zu dieser Option zu sagen. Als Grund, warum das Bit nicht gesetzt ist, nennt Paget die Netze in Ländern wie Indien. Dort darf das Handynetz nicht codiert werden. Wäre die Warn-Funktion aktiviert, würde bei jedem Wechsel der Funkzelle erneut eine Meldung auf dem Display ausgegeben – was wiederum für reichlich Support-Anrufe beim Provider sorgen würde.
Wirksamen, praxistauglichen Schutz vor dem Lauschangriff sieht Paget nicht. Einzig teure Krypto-Telefone oder die für manche Nokia-Modelle und Blackberrys angebotene Verschlüsselung zum Nachrüsten versprechen Abhilfe – vorausgesetzt, beide Seiten nutzen die gleiche Hard- oder Software. Für Android-Smartphones gibt es seit kurzem ebenfalls eine Gratis-Krypto-Software. Ansonsten kann nur der konsequente Umstieg auf 3G/UMTS Schluss machen mit dem Lauschangriff. Einen solch radikalen Schritt hält der Hacker aber in absehbarer Zeit für ausgeschlossen.
Quelle : www.heise.de
-
Über ein paar Tricksereien mit der Namensauflösung kann sich ein Angreifer unter gewissen Umständen Zugang zum Web-Frontend eines Routers verschaffen. Ist dieses dann unzureichend gesichert, stehen ihm damit Tür und Tor offen. Wie Craig Heffner in seinem Vortrag auf der Black Hat selbst zugab, ist in dem Angriff jedoch nicht viel grundsätzlich Neues enthalten. Er mixt eher ein paar Zutaten wie DNS-Rebinding (http://www.heise.de/security/artikel/Angepinnt-271004.html) und laxe Zugriffsregeln auf Routern raffiniert zusammen, um auf ein existierendes Problem aufmerksam zu machen.
Der grundsätzliche Trick besteht darin, dass der vom Angreifer kontrollierte DNS-Server für eine Web-Seite wie www.p0wn.you zwei Adressen zurückliefert. Das ist durchaus üblich und wird unter anderem für Lastverteilung auf mehrere Server genutzt. In diesem Fall liefert das DNS jedoch zusätzlich zur echten IP-Adresse noch die IP-Adresse des aktuellen Besuchers von p0wn.you zurück – also die der externen (DSL-)Schnittstelle dessen Routers.
Der Browser verwendet zunächst die erste, also die richtige Server-Adresse, um die Web-Seite zu holen. Dort ist JavaScript-Code eingebettet, der zum Beispiel versucht, eine Web-Seite wie
http://www.p0wn.you/firewall-config.html
zu öffnen. Diesmal verweigert der Server des Angreifers jedoch die Annahme der Verbindung, was dazu führt, dass sich der Browser erinnert: "Da war doch noch eine zweite Adresse – probier ich eben die". An dieser Stelle kommt dem Angreifer eine laxe Grundeinstellung zugute, die viele Router von dem darunterliegenden Linux-System geerbt haben: Sie akzeptieren auf der internen Schnittstelle Anfragen, die eigentlich an die äußere gerichtet sind. Das heißt, das Skript kann auf diesem Weg nicht nur die Web-Seite zu den Firewall-Einstellungen des Routers abrufen, sondern der Browser denkt auch noch, dass diese Seite zur Domain p0wn.you gehört. Das wiederum bedeutet, dass das Skript vollen Zugriff auf diese Seite hat und ohne Zutun des Anwenders etwa die Firewall abschalten könnte, indem es das Häkchen in der Auswahlbox zu "Deaktiviere Firewall" setzt und den "Speichern"-Button anklickt.
Voraussetzung für diesen Angriff ist allerdings, dass der Angreifer die Zugangssicherung des Routers austricksen kann. Das kann entweder über ein erratbares Default-Passwort geschehen, oder weil die Web-Oberfläche des Routers ohnehin bereits in einem zweiten Browser-Fenster geöffnet ist. An dieser Stelle setzen auch die aktuellen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) an, die grundsätzlich auch dann sinnvoll sind, wenn der eigene Router für diesen speziellen DNS-Rebinding-Angriff nicht anfällig ist.
Man sollte zum einen unbedingt für die Web-Oberfläche des Routers ein eigenes, nicht zu erratendes Passwort setzen. Und zum zweiten sollte man für Arbeiten an der Web-Oberfläche des Routers grundsätzlich eine neue Browser-Sitzung starten, also zunächst alle Browser-Fenster schließen, ein einzelnes, neues Browser-Fenster öffnen und dieses nach Beenden der Arbeit am Router direkt wieder schließen. Das mag manchem als unnötig kompliziert erscheinen. Doch nur so ist sichergestellt, dass externe Skripte sich nicht einmischen können. Außerdem sollte man auch regelmäßig prüfen, ob es Updates für den Router gibt und diese auch einspielen. Darüber hinaus empfiehlt das BSI noch, das Funknetz via WPA2 mit einem eigenen Passwort zu sichern.
Quelle : www.heise.de
-
Dass die US-Behörden und die amerikanische Armee das ein oder andere "Problemchen" mit dem Datenschutz haben, ist spätestens seit der Veröffentlichung der vielen Afghanistandokumente bekannt. Nun demonstrierte der Hacker Thomas Ryan auf der Hackerkonferenz Black Hat wie es ihm mittels Internet und einer fiktiven Frau gelang auf sozialen Plattformen geheime US-Informationen zu erlangen.
Robin Sage, 25 Jahre alt, Absolventin der Technischen Hochschule in Massachusetts, seit 10 Jahren Analystin für Cybersicherheit der US-Marine und das wohl brisanteste Merkmal – sie ist völlig fiktiv. Zwischen Dezember 2009 und Januar 2010 war sie auf Internetplattformen wie Facebook und Co. vertreten und machte dort Bekanntschaft mit zahlreichen wichtigen amerikanischen Personen. So gelang es ihr innerhalb eines Monats in Kontakt mit Soldaten, dem Stabschef eines Parlamentariers, dem Informationsdirektor der Marine und sogar mit Mitarbeitern der National Security Agency in Kontakt zu treten. Ihr gelang es dabei an einige vertrauliche Informationen der US Sicherheit zu gelangen. Beispielsweise erhielt sie Zugriff zu E-Mail- und Bankkonten und brachte in Erfahrung, wer mit wem im exklusiven Sicherheitsmilieu der USA verkehrt. Gegen Ende ihres Daseins konnte sie sogar einige Jobangebote an Land ziehen. Unter anderem als Referentin für Google und den weltgrößten Rüstungskonzern Lockheed Martin.
Schöpfer der jungen Dame war der IT-Experte der New York Times Thomas Ryan. Er bastelte sich die Frau aus einem frei erfundenen Lebenslauf und ein paar Bildern von Pornoseiten zusammen. Er wollte mit seinem Coup zeigen, dass soziale Netzwerke sich scheinbar problemlos von Hackern und Spoinen ausnutzen lassen können. Dies ist ihm bei seiner Präsentation mit dem Namen „Robin Sage ins Bett kriegen“ auf der Hackerkonferenz Blackhat eindrucksvoll gelungen.
Doch nicht alle fielen auf den Schwindel herein. Auch berühmte Hacker versuchte Ryan in den Bann seiner fiktiven Freundin zu ziehen. Diesen aber kam das Profil der Lady suspekt vor, wodurch sie die Freundschaftsanfrage ablehnten. Ryan gab allerdings an, dass er das Profil absichtlich mit einigen Fehlern ausstattete. Doch die wenigsten bemerkten diese und fragten sich nicht, wie eine 25-Jährige zehn Jahre Berufserfahrung haben kann.
Quelle : www.gulli.com
-
Das Ringen um die Reihenfolge der Vorträge der Wiener IT-Security Konferenz DeepSec ist beendet. Das Programm der Veranstaltung vom 23. bis einschließlich 26. November steht nun allen Interessierten zur Verfügung.
Die DeepSec (https://deepsec.net/) besteht wie jedes Jahr aus zwei Teilen. An den ersten beiden Tagen finden acht intensive Workshops zu unterschiedlichen Themen statt. Ab dem 25. November wird die eigentliche Konferenz abgehalten. Die Teilnehmer haben jeweils die Auswahl aus zwei unterschiedlichen Vorträgen, die zeitgleich ablaufen. Den Zuhörern werden thematisch sehr unterschiedliche Seminare rund ums Thema Hacking geboten. Die Sicherheit von mobilen Geräten spielt in unserer Gesellschaft eine immer größere Rolle. Raphaël Rigo wird deswegen im Rahmen seines Seminars auf die Interna des Betriebssystems Android eingehen. Marco Bonetti hingegen zeigt, wie man Tor auf einem iPhone oder anderen ungewöhnlichen Geräten betreiben kann. Laurent Oudot von TEHTRI-Security geht auf die Sicherheitsschwachstellen verschiedener Geräte wie iPad, iPhone, HTC, Blackberry etc. ein. Er konzentriert sich auf die Hardwarearchitektur der Hardware und verrät, wo sich bisher verborgene Bugs befinden könnten. Die 32 Vorträge der beiden Tage dürften aber die Interessenbereiche wirklich aller Besucher abdecken. Von CyberWar, unsicheren Passwörtern, DOS-Attacken über SAP-Hacking, GSM-Debugging, Erkennung von Keyloggern oder Malware in Musikstücken und Filmen ist so ziemlich alles dabei, was man sich überhaupt vorstellen kann. Mindestens auf zwei Seminaren werden Premieren im Bereich Hacking bekannt gegeben. DeepSec-Macher René Pfeiffer schwieg sich natürlich darüber aus, wo dies der Fall sein wird. Nichts tötet einen 0-Day Exploit so schnell, wie eine vorherige Ankündigung.
Wie man auf dem eigenen Blog (http://blog.deepsec.net/?p=67) bekannt gab, so war der Grund für die Verzögerung an sich überaus positiv. Dem Komitee fiel es schwer, aus den vielen hochwertigen Einreichungen die richtigen Beiträge herauszufiltern.
Das Konzept der DeepSec dürfte in Europa einmalig sein. Jedes Jahr sind neben Datenschützern und Personen aus dem Umfeld des CCC auch Cyberkriminelle, Vertreter von Anti-Viren-Firmen und Mitarbeiter von verschiedenen Ermittlungsbehörden anwesend, um sich dort auszutauschen. Kriminelle verschiedener Sparten und ihre Gegner treffen also in Wien aufeinander, als wäre nichts dabei. Die DeepSec bietet ihnen allen dabei einen sicheren Boden, auf dessen Grundlage sie sich gefahrlos und anonym begegnen können. Wie Organisator René Pfeiffer uns im Interview erzählte, werden die Namen der Teilnehmer des Events unter keinen Umständen bekannt gegeben. Wer anonym sein will, der kann es hier auch bleiben. Trotz der höchst explosiven Michung der Gäste ist es bisher nie zu irgendwelchen Ausschreitungen gekommen.
Wer sich weitergehend informieren möchte: Das Programm der Trainings und der Konferenz ist hier (http://deepsec.net/schedule/) einsehbar.
Quelle : www.gulli.com
-
Die internationale Sicherheitskonferenz DeepSec, die dieses Jahr vom 23. bis zum 26. November in Wien stattfinden wird, wird sich primär mit dem Thema "Sicherheit mobiler Systeme" befassen. Zahlreiche Experten werden Vorträge und Workshops abhalten - und, so zeichnet es sich bereits ab, aufzeigen, dass mobile Netze oftmals nur sehr schlecht abgesichert sind.
Das Besondere an der DeepSec ist, dass sich hier Sicherheitsexperten aus allen Bereichen versammeln. Es werden auch dieses Jahr wieder IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community erwartet. Diese illustre Runde wird sich dieses Jahr primär mit der Sicherheit mobiler Systeme und deren Benutzer sowie der Infrastruktur der nächsten Generation befassen.
Auf der Konferenz sollen einige Sicherheitslücken auch live demonstriert werden. Wie leicht Handynutzer zum Opfer von Datendieben werden können, zeigt Sicherheitsforscher Ralf Philipp Weinmann auf der DeepSec zum ersten Mal an einem Beispiel: In seinem Vortrag stellt er eine Möglichkeit vor, Apples iPhone mit einer manipulierten Funknetz-Basisstation zu hacken, ganz ohne sich am Gerät oder seiner Internet-Verbindung zu schaffen zu machen. Zum Datentransport setzt er dabei lediglich das reguläre Mobilfunknetz (GSM) ein, das in 219 Ländern von über 4,3 Milliarden Menschen genutzt wird und über das die reguläre Handy-Kommunikation läuft. Mit seinem Vortrag legt Weinmann dar, wie prekär die aktuelle Sicherheitslage im Handy-Netz tatsächlich ist. Sein Vortrag "All your baseband are belong to us" findet am 26. November ab 11:50 Uhr statt.
Auch andere Sprecher behandeln intereressante Aspekte der mobilen Sicherheit: In ihrem zweitägigen Workshop "Attacks on GSM networks" gehen die Sicherheitsexperten Karsten Nohl (Security Research Labs, Berlin) & Harald Welte (HMW-Consulting, Berlin) auf die kritischen Sicherheitsbereiche des Funknetzwerkes ein, während Raphaël Rigo von der Französischen Netzwerk- und Datensicherheitsagentur (ANSSI) in seinem Vortrag "Android: Reverse Engineering and Forensics" Schwachstellen aktueller Handys mit Googles Android-Betriebssystem aufdeckt.
Auch einen Trainings-Workshop zum Thema Social Engineering soll es geben. Dort sollen Angestellte aus dem Bereich IT-Sicherheit geschult werden, am Telefon nicht auf soziale Tricks von Betrügern hereinzufallen. "Viele Leute sind verdutzt, wenn sie merken, dass solche Spionagetechniken schon längst nicht mehr nur in Hollywood-Thrillern eingesetzt werden", erklärt René Pfeiffer, Organisator der DeepSec. In dem zweitägigen DeepSec-Workshop lernen Teilnehmer übrigens auch, wie sie ihre Mitarbeiter für Social-Engineering-Angriffe sensibilisieren und damit die Datensicherheit in der eigenen Firma stärken können.
Quelle : www.gulli.com
-
Mit den möglichen Folgen von - insbesondere staatlichen - Angriffen auf das Mobilfunknetz wird sich einer der Vorträge auf der nächste Woche in Wien stattfindenden IT-Sicherheitskonferenz DeepSec befassen. Angesichts der verbreiteten Smartphone-Nutzung für die verschiedensten Zwecke befürchten Experten erhebliche Auswirkungen derartiger Angriffe.
"Das GSM-Mobilfunknetz wird in 200 Ländern eingesetzt und besitzt eklatante Schwachstellen, über die wir aufklären", erklärt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die vom 23. bis 26. November 2010 in Wien stattfindet. "Nur wenige Menschen realisieren, dass das Mobilfunknetz für die persönliche und nationale Sicherheit ebenso relevant ist wie zum Beispiel das Stromnetzwerk." Das Mobilfunknetz sieht Pfeiffer, wie auch andere Experten, als Teil der sogenannten "kritischen Infrastrukturen", die für das gesellschaftliche Leben eine große Bedeutung haben und daher auch für böswillige Angreifer ein attraktives Ziel darstellen.
In Aufständen, Revolutionen oder (virtuellen) Kriegen, so die Befürchtung von Experten, könnte ein gezielter Angriff auf das GSM-Netz eines Landes verheerende Folgen mit sich bringen. Mobilfunk-gestützte Sicherheitssysteme in Banken, Behörden oder Firmen würden aufhören zu funktionieren - und Bürger könnten mit ihrem Mobiltelefon keine Notrufe mehr absetzen. Bei einem solchen Anschlag auf die technologische Infrastruktur stünden Menschenleben auf dem Spiel. Vertreter von Sicherheitsfirmen und Behörden würden daher dem Schutz des Mobilfunknetzes wie auch anderer kritischer Infrastrukturen mittlerweile einige Bedeutung zumessen. Die Ausarbeitung entsprechender Sicherheitsmaßnahmen steckt allerdings oftmals noch in den Kinderschuhen.
Ein weiteres Risiko bei der verstärkten Nutzung mobiler Geräte sind Datendiebstähle - ob es nun um private Informationen, Account-Daten oder Firmengeheimnisse geht. Viele der Geräte sind nur unzureichend abgesichert, werden aber trotzdem zunehmend benutzt, um auf sensible Informationen zuzugreifen und diese auch zu speichern. Dabei sind auch geschlossene Systeme wie Apples "App Store" kein Allheilmittel: "Handy-Kaufplattformen für so genannte 'Apps' sind nicht so sicher, wie viele vermuten", erklärt Pfeiffer und weist damit auf das vielseitige Programm der Sicherheitskonferenz hin, auf der die akuten Sicherheitsprobleme mobiler Geräte wie Handys oder Tablet-PCs im Vordergrund stehen.
Die DeepSec ist laut Selbstbeschreibung eine "neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in 33 Vorträgen und acht Workshops erneut die Chance, sich über die brennenden Sicherheitsthemen auszutauschen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind." Die Konferenz wird diesmal unter dem Thema "Mobile Security" stattfinden. Auch gulli:News wird von dort berichterstatten.
Quelle : www.gulli.com
-
Auf der IT-Sicherheitskonferenz DeepSec hielt Toralv Dirro von den McAfee Labs einen Vortrag unter dem Titel "Malware Trends 2010 - Beware the Predators". Darin stellte er überraschende ebenso wie weniger überraschende Trends aus der Malware- und Cybercrime-Welt vor und gab auch einen kurzen Ausblick auf die Zukunft.
Neben der Frage, was, wie Dirro es formulierte, "momentan in der Welt der Malware vor sich geht", beschäftigt Sicherheitsexperten - und insbesondere Unternehmen wie McAfee - natürlich auch, welche Sicherheitsmaßnahmen sinnvoll und effektiv sind.
Zunächst berichete Dirro über die internationale Cybercrime-Szene. Insbesondere die Motivation der Kriminellen sowie die ihnen zur Verfügung stehenden Ressourcen wurden vorgestellt. In Sachen Motivation hatte Dirro nichts neues zu berichten: der Trend zur Professionalisierung der Cybercrime-Szene setzte sich auch im Jahr 2010 ungebremst fort. Der Mehrheit der Spammer, Botnet-Betreiber, Datendiebe und anderen Online-Kriminellen geht es um handfeste finanzielle Gewinne. Alles, was diese Menschen tun, ist darauf optimiert, mit ihren illegalen Operationen möglichst viel Geld zu verdienen - idealerweise schnell, einfach und risikoarm.
So überrascht es nicht, dass der Untergrund-Markt nach wie vor floriert. In meist russisch-sprachigen Foren werden die verschiedensten Datensätze, Malware oder auch Exploits für bekannte Software angeboten. Die dort gehandelten Datensätze veränderten sich allerdings laut Dirro im vergangenen Jahr. Kreditkarten-Nummern, früher ein beliebtes Handelsgut, haben extrem an Wert verloren. Sie bringen nur noch wenige Cent pro Stück und werden daher entsprechend seltener angeboten. Wer momentan mit entwendeten Kreditkarten-Daten Profit machen will, sollte besser dazu übergehen, Dumps des kompletten Magnetstreifens anzufertigen. Diese Art Datensatz nämlich, so Dirro, ist derzeit begehrt.
Ebenfalls in großer Auswahl in entsprechenden Foren angeboten werden "Scriptkiddy-Toolkits", erklärte Dirro. Darunter verstand er Malware, die auch von technisch relativ unerfahrenen Personen genutzt und weit verbreitet werden kann. Als Beispiel nannte er den insbesondere in den ersten beiden Quartalen immens populären Trojaner "ZeuS". Er führte vor, wie mit Hilfe eines grafischen Konfigurationsmenüs in Minuten eine eigene Version von ZeuS, angepasst an den gewünschten Verwendungszweck, erstellt werden kann. Anschließend wird anhand der ausgewählten Optionen das Binary kompiliert. In der Folge existieren unzählige verschiedene ZeuS-Versionen, was eine Erkennung äußerst schwierig gestaltet. Nach Schätzungen von McAfee finden sich zu jedem Zeitpunkt zwischen 1000 und 2000 ZeuS-Varianten gleichzeitig im Netz. Je nach Verbreitung - weniger verbreitete Schädlinge bleiben länger unentdeckt - kann eine neue ZeuS-Variante so tage- bis monatelang Rechner infizieren, bis sie von den Sicherheitsexperten entdeckt wird. Mit ZeuS wurden die unterschiedlichsten Cybercrime-Kampagnen realisiert, äußerst gezielte ebenso wie ungezielte und auf massenhafte Infektionen ausgelegte. Im Zusammenhang mit ZeuS berichtete Dirro auch kurz über die mögliche Fusion von ZeuS mit dem bisherigen Konkurrenten SpyEye (gulli:News berichtete). Außerdem erwähnte er, dass es mittlerweile ein Add-On gibt, das ZeuS auch auf Mobile Devices nutzbar macht. Dieses befinde sich allerdings noch im experimentellen Stadium.
Allgemein, erklärte Dirro, sei Malware weiterhin auf dem Vormarsch. Momentan kämen täglich so viele neue Malware-Typen - oft, wie beim ZeuS-Beispiel, Variationen existierender Malware - hinzu, dass die Anbieter herkömmlicher, rein auf Signaturen basierender Schutzsoftware oftmals kaum hinterher kämen. Um dieses Problem zu verringern, arbeite man momentan daran, die Malware-Analyse weitestgehend zu automatisieren, berichtete der Sicherheitsforscher. Auch versuche man, die Reaktionszeit durch Cloud-Systeme zu verbessern - dies erläuterte er im weiteren Verlauf des Vortrages noch genauer.
Ein Comeback startet nach Erkenntnissen von McAfee momentan die sogenannte Adware. Eine Weile schienen diese nervigen Schädlinge verschwunden zu sein, nun jedoch werden sie als einfache und billige Möglichkeit, unerwünschte Produktwerbung unter die Leute zu bringen, wiederentdeckt. Anders als früher geschieht die Verbreitung heute meist durch sogenannte Drive-by-Downloads, also automatische Downloads von kompromittierten oder eigens für diesen Zweck eingerichteten Seiten.
Die Zahl der Botnet-Infektionen blieb das Jahr über nahezu konstant. Dirro berichtete von rund sechs Millionen Neu-Infektionen im Monat.
Im Jahr 2009 war die Problematik sogenannter Scareware - gefälschter, aggressiv vermarkteter Sicherheitsprogramme - in den Fachmedien äußerst präsent. Nun scheint die Beliebtheit dieser Cybercrime-Variante leicht abzunehmen. Dirro berichtete, die Verbreitung von Scareware habe 2009 ihren Höhepunkt erreicht. Noch immer sei sie allerdings ein beliebtes und auch lukratives Geschäft für Online-Kriminelle.
Drive-by-Downloads sind laut Dirro nicht nur bei der Scareware-Verbreitung eine beliebte Strategie. Auch bei sonstigen Formen der Cyberkriminalität erfreuen sie sich großer Beliebtheit. Die Seiten, die die Scareware oder sonstige Malware beinhalten, werden dabei oftmals durch SEO-Tricks ("Black Hat SEO") bekannt gemacht. Das bedeutet, dass die Seiten so suchmaschinen-optimiert werden, dass sie bei Suchen nach aktuellen Themen - laut Dirro sind insbesondere Naturkatastrophen und Todesfälle von Prominenten beliebt - unter den ersten Treffern erscheinen. So werden zahlreiche nichtsahnende Besucher auf die Seiten gelockt. Dirro erklärte, dass insbesondere schnelles Reagieren den Online-Kriminellen Vorteile verschafft. Schaffen sie es, ihre Seite bei Google, Bing und co. bekannt zu machen, bevor beispielsweise die großen Nachrichten-Agenturen sich eines Themas annehmen, erhält die Seite für die erste Zeit recht leicht einen hohen Rang - gute Besucherzahlen sind dann wahrscheinlich. Oft, so Dirro, wird die Malware in Form eines gefälschten Multimedia-Codecs - der angeblich nötig ist, um das Video mit den brandheißen News abzuspielen. Dirro berichtete, dass mittlerweile rund 60% der beliebtesten Google-Suchbegriffe bösartige Seiten unter den ersten 100 Treffern aufweisen. Insgesamt seien zahlreiche Malware-Seiten online, so der Sicherheitsforscher.
Als großes Problem sehen Sicherheitsexperten zunehmend auch sogenannte "targeted attacks", gezielte Angriffe auf bestimmte Personen oder Unternehmen, als Problem an. Dabei, so Dirro, erhalten nur wenige Angriffe mediale Aufmerksamkeit. Dies liegt vor allem daran, dass viele Unternehmen sich nach Kräften bemühen, derartige Vorfälle nicht an die Öffentlichkeit gelangen zu lassen, da sie befürchten, dass sie das Vertrauen der Kunden untergraben. Von derartigen gezielten Angriffen, sagte Dirro, seien auch Regierungsbehörden zunehmend betroffen. So wurde beispielsweise das US Central Command Opfer einer entsprechenden Attacke. Die Angreifer, die solche gezielten Attacken durchführen, sind verfügen meist über große Ressourcen und eine große Ausdauer. Sie verbreiten ihre Malware nur sehr wenig, damit diese möglichst unbekannt bleibt. Außerdem spielen bei solchen Angriffen meist Social-Engineering-Techniken eine große Rolle.
Kurz wurde von Dirro auch der berüchtigte Schädling Stuxnet erwähnt "für die beiden Leute im Raum, die tatsächlich noch nichts davon gehört haben". Größtenteils wiederholte er bereits bekannte Erkenntnisse. Interessant war allerdings seine Analyse: Dirro ist der Ansicht, dass Stuxnet keine "Kollateralschäden" erzeugen, also nicht massenhaft Unbeteiligte infizieren, sollte. Aufgrund der eingebauten Verbreitungsmechanismen sei dies allerdings "kläglich gescheitert" und Stuxnet massenhaft verbreitet worden - laut Dirro ein Beleg für die Tatsache, dass es nicht immer funktioniert, seinen Angriff auf bestimmte Ziele zu beschränken.
Anschließend berichtete Dirro über aktuelle Trends in der Sicherheitssoftware-Branche, insbesondere bei seinem Arbeitgeber McAfee. Eine Technologie, die mittlerweile bei fast allen Anbietern von Antiviren-Software in irgendeiner Form Verwendung finde, sei das Cloud Computing, so Dirro. Die meisten Unternehmen würden allerdings die genauen Details ihrer Implementierung geheim halten. Allgemein jedenfalls funktioniert es so, dass die Cloud bei der Analyse verdächtiger Dateien hilft. Dazu wird der Hash der Datei, zusammen mit einigen Metadaten, an die Cloud verschickt und dort abgeglichen. Bei McAfee, so Dirro, werde neben dem Hash lediglich die Quelle der Datei - etwa Internet-Download oder USB-Stick - angegeben. Der Experte erklärte, dass das Verschicken von mehr Metadaten bei der Analyse helfen und eventuell bei der Erkennung auch polymorphischer Schädlinge - also solcher, die sich so verändern, dass ihr Hash stets anders ist - helfen könnte. Allerdings würde dies auch stärker in die Privatsphäre der Kunden, auf deren Rechner sich ja womöglich sensible Firmendaten befinden, eingreifen. Man habe hier also einen Konflikt zwischen Privatsphäre und Sicherheit.
Als großen Vorteil des cloud-basierten Ansatzes nannte Dirro die dadurch mögliche Reaktionsgeschwindigkeit auf neue Malware-Typen. Kunden müssten nicht ständig die neuesten Signatur-Updates installiert haben, um sämtliche neuen Erkenntnisse nutzen zu können, da sich diese Definitionen in der Cloud befänden. Dirro erklärte allerdings auch, dass dies kein "radikal neues Konzept" sei, sondern vielmehr alten "Reputation Services" ähnele.
Die Nutzung der Cloud kann allerdings auch nicht alle Probleme bei der Malware-Erkennung lösen. Dies betonte auch Dirro. So sei beispielsweise die Erkennung polymorphischer Schädlinge, deren "Fingerabdruck" sich ständig ändert, äußerst schwierig. Außerdem könnte es unter bestimmten Umständen ein Problem darstellen, dass die Nutzung der Cloud ständig eine Internetverbindung verlangt. Diese sei zwar heutzutage normalerweise vorhanden. Es sei aber beispielsweise möglich, dass die Sicherheits-Vorschriften eines Unternehmens im Falle einer Infektion eine Deaktivierung der Netzwerk-Verbindung vorsehen. Daher müssten die Vorschriften nach Möglichkeit entsprechend angepasst werden. Zudem würde erwogen, für derartige Notfälle eine lokale Kopie der Cloud anzulegen.
Die Malware-Erkennung sei, so sagte Dirro, im Wandel. Verschiedene reputationsbasierte Erkennungssysteme - namentlich für Malware, Domains/URLs, IP-Adressen und Software-Schwachstellen - würden korrelieren. Bei den IT-Sicherheitsunternehmen gehe man zunehmend dazu über, diese Daten - laut Dirro über 100 Milliarden Abfragen pro Monat - zu analysieren und zueinander in Beziehung zu setzen.
Dirro beschloss seinen Vortrag mit seinen Vermutungen, was die Zukunft der Malware und der Malware-Bekämpfung angeht. Er berichtete, dass momentan die Technik, vertrauenswürdige Anwendungen auf Whitelists zu setzen, wieder verstärkt im Gespräch sei, zeigte sich allerdings skeptisch. Aufgrund der riesigen Anzahl vertrauenswürdiger Programme gebe es nach wie vor Probleme mit dem "scaling", also der Leistungsfähigkeit und der Aufnahme aller Anwendungen in die Whitelist. Allerdings handle es sich um einen interessanten Ansatz. Es werde momentan damit experimentiert, die Whitelist ebenfalls auf zentrale Server oder in die Cloud zu verlegen, was die Performance-Probleme in Grenzen halten könnte.
Kein großes Vertrauen zeigte Dirro in heuristische Systeme, also solche, die Malware rein anhand des Verhaltens erkennen sollen. Er meinte, dies habe bisher nie zuverlässig funktioniert, da das Spektrum möglicher Verhaltensweisen sowohl bei Malware als auch bei nicht destruktiven Programmen einfach zu groß sei. Dirro geht davon aus, dass diese Technik auch in der Zukunft allenfalls zur Ergänzung anderer Systeme Verwendung finden wird.
Quelle : www.gulli.com
-
Die DeepSec will, so die Zielsetzung, Experten verschiedener Hintergründe und Spezialgebiete zusammenbringen. Dieses Motto fand sich auch im Vortrag "Cyber War on the Horizon" von Stefan Schumacher wieder. Der selbständige Security Consultant versuchte, das eher technische Thema von rechtlicher, sozialer und politischer Seite zu beleuchten und entsprechend einzuordnen.
Schumacher versucht stets, die beiden Welten - die technische und die soziale - miteinander zu verknüpfen und aufzuzeigen, dass viele Fragestellungen und Probleme beide Bereiche berühren. Er ist seit rund 15 Jahren in der Open Source- und Hackerszene unterwegs, Entwickler für NetBSD und außerdem auch an Betriebssystemen und Kryptographie interessiert. Daneben studiert er Erziehungswissenschaften und Psychologie und ist seit diesem Jahr Präsident der Magdeburger Akademischen Gesellschaft für Außen- und Sicherheitspolitik. Er versucht, das Themenfeld der (IT-)Sicherheit von einem soziologischen Standpunkt aus zu erforschen. Seine Fachgebiete als Sicherheitsberater sind Social Engineering, Security Awareness und Gegenspionage.
Auf das Thema Cyberwar kam Schumacher nach eigenen Angaben durch den derzeit herrschenden Hype. Cyberwar, so berichtete Schumacher, werde in den Medien, der IT-Sicherheits-Szene, dem Militär, der Politik und auch unter Politikwissenschaftlern gleichermaßen viel diskutiert. Dies brachte den Sicherheitsberater zu einer grundlegenden Fragestellung: Ist es möglich, einen Krieg im Cyberspace zu führen? Die Antwort Schumachers auf diese Frage fällt differenziert aus und unterscheidet sich deutlich von dem, was momentan von vielen Politikern, aber auch Sicherheitsexperten zu hören ist.
Zunächst einmal definierte Schumacher den medienwirksamen Begriff "Cyberspace". Dieser habe eine technische (die verwendeten Geräte sowie die Software) und auch eine soziale (die Menschen, die das Internet nutzen, und ihre Interaktion) Dimension.
Der zweite Begriff, den man definieren müsse, so Schumacher, sei der Begriff "Krieg", da dieser ja in "Cyber War" beziehungsweise "Cyberkrieg" ebenfalls enthalten sei. Es existieren zahlreiche verschiedene Definitionen. Schumacher berief sich für seinen Vortrag auf die Definition des bekannten Militärtheoretikers Carl von Clausewitz, nach der Krieg ein politisches Instrument ist. "Der Krieg ist also ein Akt der Gewalt, um den Gegner zur Erfüllung unseres Willens zu zwingen", hatte von Clausewitz geschrieben. Vor diesem Hintergrund wollte Schumacher die Frage betrachten, ob ein "Cyber War" überhaupt eine realistische Vorstellung ist.
Ein reiner Cyberkrieg, so Schumacher, sei sehr unrealistisch. So sei es nicht möglich, einen Gegner allein durch Cyber-Angriffe zu entwaffnen und ihm "seinen Willen aufzuzwingen". Zudem könne man nicht von einem Krieg sprechen, wenn - wie es bei Cyber-Angriffen üblich ist - keine übergeordnete Strategie existiere. Dementsprechend, so Schumacher, käme Cyber-Angriffen eine rein unterstützende Rolle zu - sie könnten konventionelle Angriffe ergänzen und in diese eingebunden werden, aber nicht alleine stehen. Dementsprechend sei der Begriff "Cyber-Kriegführung" ("Cyber Warfare") wesentlich angemessener als der eines Cyberkrieges.
Einen wichtigen Unterschied, so betonte Schumacher, gebe es zwischen Cyber-Angriffen und anderen Angriffen. Bei traditionellen Kämpfen seien die Verteidiger stets im Vorteil, das Zahlenverhältnis müsse in den meisten Situationen etwa 3:1 für die Angreifer betragen, um einen Angriff aussichtsreich zu machen. Bei der Cyber-Kriegführung sei dies vollkommen anders. Die Verteidiger müssten stets sämtliche Sicherheitslücken beheben und sämtliche möglichen Zugänge überwachen, während für den oder die Angreifer eine einzige Unachtsamkeit reichen kann, um sich erfolgreich Einlass zu verschaffen. "Ein 14-jähriges pakistanisches Scriptkiddy könnte in der Lage sein, die US Air Force vom Netz zu nehmen und einen Cyber War zu starten," sagte Schumacher. Dies sei nicht nur technisch interessant, sondern habe auch eine wichtige politische Dimension.
Cyber-Angriffe, so Schumacher, seien ebenso wie andere Angriffe durch internationales Recht - konkret durch das Kriegsrecht und das Humanitäre Völkerrecht - geregelt. Die Gesetze seien jedoch im vorigen Jahrhundert entstanden und trügen den neuen technischen Möglichkeiten nicht Rechnung. Allgemein akzeptierte Interpretationen der Gesetze sagten, dass Cyber-Angriffe kein kriegerischer Akt seien und konventionelle Vergeltungsangriffe somit illegal seien, erklärte Schumacher. Zudem liege von juristischer Seite kein Krieg vor, wenn keine Regierung beteiligt sei - dann habe man es mit normaler Kriminalität zu tun.
Schumacher griff kurz den teilweise diskutierten Vorschlag auf, ein Verbreitungsverbot - wie es für Atomwaffen bereits existiert - auch für Cyber-Waffen einzuführen. Dies würde internationale Verträge benötigen und einige Regierungen seien ganz offensichtlich daran interessiert. Schumacher erklärte jedoch, er halte diese Idee für nicht praktikabel. Im Gegensatz zu Atomwaffen, die groß und auffällig seien und strenge Sicherheitsmaßnahmen benötigten, seien Cyber-Waffen - also spezielle Malware, die die Systeme des Gegners ausschalten oder andere destruktive Aufgaben wahrnehmen soll - ungleich einfacher weiterzugeben. Ein USB-Stick, eine DVD oder eine verschlüsselte Datei auf irgendeinem Filehosting-Dienst würden reichen. Somit sei eine strenge Zensur des Internets nötig, um diese Pläne umzusetzen, und selbst dann würden findige Sicherheitsexperten mit an Sicherheit grenzender Wahrscheinlichkeit einen Weg finden, die Kontrollen zu umgehen. Als Deutscher fühlte man sich unweigerlich an das "Hackertool-Gesetz" erinnert. Auch dieses unterband eher die öffentliche Diskussion über derartige Programme als deren tatsächliche Erstellung, Anwendung und Weitergabe, was einen Hinweis darauf gibt, dass Schumachers Einschätzung für sehr realistisch zu halten ist.
Die USA, so berichtete Schumacher, setzen sich momentan dafür ein, den NATO-Vertrag in Bezug auf Cyber-Angriffe zu ändern. Cyber-Angriffe sollen dann ein Grund sein, den Bündnisfall auszurufen und auch auf konventionellem Wege zurückzuschlagen. Diese Pläne hält Schumacher für einen "großen Fehler". Da es bekanntermaßen möglich sei, im Internet seine Identität zu fälschen, könnte sich so ein Verbrecher relativ leicht als Regierung ausgeben und einen Krieg auslösen - oder eine Regierung auf diesem Wege einen Krieg zwischen zwei anderen Staaten hervorrufen. Jeder, der Tom Clancys "Der Anschlag" gelesen oder den Film gesehen hat, wird sich ein solches Szenario leicht vorstellen können.
"Cybercrime ist momentan gefährlicher als Cyber War", so Schumachers kontroverse Einschätzung. Kriegführung im Internet sei momentan ein eher theoretisches Thema, während Kriminelle seit Jahren und mit teils großem Erfolg das Internet unsicher machten. Hier sei internationale Kooperation bei der Bekämpfung gefragt.
Schumacher ließ eine Betrachtung möglicher Angriffsvektoren folgen. Unter anderem erwähnte er den medienwirksamen Schädling Stuxnet. Bei dessen Einsatz handle es sich nach von Clausewitz' Definition nicht um Krieg, da die Wirkung äußerst begrenzt sei, so der Experte. Stuxnet sei zwar technisch interessant, aber in dieser isolierten Form kein Cyberkrieg.
Als wahrscheinliches Angriffsziel nannte Schumacher auch das Stromnetz. Er berichtete, dass in Zukunft sogenannte Smart Grids in Europa eingeführt werden sollen. Dabei handelt es sich laut Wikipedia um "die kommunikative Vernetzung und Steuerung von Stromerzeugern, Speichern, elektrischer Verbraucher und Netzbetriebsmitteln in Energieübertragungs- und -verteilungsnetzen der Elektrizitätsversorgung. Damit wird eine Überwachung und Optimierung der miteinander verbundenen Bestandteile ermöglicht. Ziel ist die Sicherstellung der Energieversorgung auf Basis eines effizienten und zuverlässigen Systembetriebs." Jeder Haushalt müsste dann über ein sogenanntes "Smart Meter" verfügen. Dadurch könnten Haushalte zentral vom Netz getrennt werden. Dies ist beispielsweise dafür gedacht, Kunden, die ihre Rechnung nicht bezahlen, vom Netz zu trennen. Schumacher erklärte aber, dass diese Funktion sich auch leicht missbrauchen ließe. Würden zahlreiche Haushalte gleichzeitig vom Netz genommen, könnte das plötzliche Absinken der Nachfrage für einen Ausfall des Kraftwerks sorgen. Da die meisten europäischen Kraftwerke vernetzt seien, könnte dies eine Kettenreaktion und großflächige Stromausfälle verursachen. Die Sicherheit dieses Systems, so Schumacher, sei nie detailliert betrachtet worden. Zudem basierten Notfallpläne auf dem Ankauf von russischem Gas und seien somit stark von der politischen Situation abhängig. Das System des Smart Grid, berichtete Schumacher, werde von Lobbyisten mit Profit-Interessen sehr stark vorangetrieben. Dabei bleibe die Sicherheit auf der Strecke. Nicht nur werde die IT-Sicherheit kaum diskutiert, auch würden die Hersteller Smart Meter anbieten, die "aufgeblasen wie Emacs" seien. Dadurch sollen die Geräte, die dann jeder Haushalt kaufen müsste, teurer werden. Diese Problematik, so Schumacher, müsste eigentlich von Politikwissenschaftlern diskutiert werden. Diese seien aber - gerade in Deutschland - oft "technophob", während Hacker und IT-Sicherheitsexperten oftmals kaum an Politik hätten. Schumacher wünschte sich eine bessere Kooperation und Kommunikation, zeigte sich aber skeptisch, ob diese kurzfristig zu erreichen sei.
Auch einen weiteren Angriffsvektor nannte Schumacher: das Militär selbst. Er erzählte, die USA verließen sich auf dem Schlachtfeld zunehmend auf IT. Beim sogenannten "Network Centric Warfare" (NCW) würden verstärkt computergestützte Systeme zur Kommunikation zwischen Soldaten und Kommandanten benutzt. Somit könnten durch einen Cyberangriff militärische Operationen erheblich gestört und die Armee ins Chaos gestürzt werden. Das selbe gelte im übrigen auch für Kampfroboter und die derzeit so beliebten Überwachungsdrohnen. Selbst Autos würden aufgrund der stärkeren Computerisierung zunehmend verwundbar. Schumacher erwähnte auch die Möglichkeit, Trojaner bereits bei der Herstellung von technischen Geräten in deren Software zu verstecken und später - wenn dies politisch angemessen erscheine - zu aktivieren.
Schumacher zog das Fazit, dass der Begriff "Cyber War" übertrieben sei, da man seinen Gegner nicht kampfunfähig machen könne. Allerdings bestehe durchaus ein gewisses Risiko, da die Gesellschaft sich zunehmend auf IT verlasse und internationale Schutz-Strategien fehlten. Cyber-Angriffe, so Schumacher, befänden sich derzeit in einer "experimentellen Phase", ähnlich wie die militärische Nutzung von Flugzeugen zu Beginn des Ersten Weltkriegs. Schumacher stellte sich auf den Standpunkt, dass der Begriff "Cyber War" sogar gefährlich sein könne, da er Angst erzeuge. Dadurch könnten konventionelle Vergeltungsschläge "wie eine gute Idee erscheinen" - mit den zuvor erwähnten negativen Folgen.
Quelle : www.gulli.com
-
Mobile Devices, insbesondere Smartphones, erfreuen sich momentan immenser Beliebtheit. Es kann jedoch schwierig sein, seine Privatsphäre bei der Nutzung dieser Geräte effektiv zu schützen. Dieses Problems nahm sich der Programmierer und IT-Sicherheitsberater Marco Bonetti in seinem Vortrag an. Er stellte Portierungen des Anonymisierungsdienstes Tor für mobile Geräte vor.
Bonettis Vortrag "Mobile Privacy" behandelte zunächst die allgemeinen Probleme bei der Nutzung von Smartphones. Insgesamt, so erklärte er, sei diese Plattform von zuviel Vertrauen dominiert. Benutzer würden ihrem Gerät vertrauen, der Gerät wiederum dem Provider. Dieses Vertrauen sei jedoch nicht unter allen Umständen angebracht. Zudem sei die Architektur von Smartphones verwundbar. Die Display-Tastatur, bei der sich Sonderzeichen nur in mehreren Schritten zufallen lassen, würde die Eingabe komplizierter Passwörter erschweren. Dies würde Benutzer oft dazu verleiten, einfachere Passwörter zu wählen. Zudem sei es aufgrund der begrenzten Bildschirmgröße und Auflösung oftmals nicht vorgesehen, wichtige Informationen - etwa die Details eines Sicherheitszertifikats - zu überprüfen. Außerdem seien bei Smartphones zahlreiche "Parteien" - Hersteller, Diensteanbieter, App-Programmierer und Endkunde - beteiligt, was die Definition von Zuständigkeiten erschwere und außerdem mehrere Angriffsvektoren eröffne. Zudem würden Daten auf Smartphones normalerweise - von wenigen Ausnahmen wie etwa dem BlackBerry abgesehen - im Klartext gespeichert. Auch die Rechtevergabe lasse zu wünschen übrig und basiere auf dem Motto "alles oder nichts".
Die verwendeten Übertragungsprotokolle, so Bonetti weiter, seien ebenfalls nicht besonders sicher. GSM sei bereits geknackt, bei UMTS sei dies auch nur noch eine Frage der Zeit, Bluetooth sei ohnehin gefährlich und WLAN sei nur bei entsprechender Konfiguration - WPA2-Verschlüsselung - noch sicher. Die Nutzung von Verschlüsselungsverfahren wie SSL sei für die vergleichsweise leistungsschwache Hardware oft eine Herausforderung.
Bonetti betonte, die Kommunikation müsse geschützt werden. Dies sei allerdings aufgrund mangelnder Optimierung schwierig - Telefone seien nun einmal primär für andere Dinge gemacht.
Nach dieser allgemeinen Einführung widmete sich Bonetti dem Thema "Tor auf mobilen Geräten". Der Anonymisierungsdienst Tor dürfte den meisten IT-affinen Menschen ein Begriff sein. Weniger bekannt ist jedoch, dass sich Tor nicht nur auf dem PC oder Laptop einsetzen läßt, sondern in vielen Fällen auch auf dem Smartphone.
Um dies allerdings zu realisieren, müssen die Programmierer derartiger Portierungen einige Hindernisse überwinden. Bonetti berichtete, dass insbesondere die schwache Hardware vieler Smartphones eine Hürde darstelle. Tor sei notorisch RAM-hungrig, woran bereits mehrere Projekte - beispielsweise der Versuch, Tor auf handelsübliche Router zu portieren - gescheitert seien. Daneben neben müsse natürlich auch die Kompatibilität zum jeweiligen Betriebssystem hergestellt werden. Ebenfalls schwierig gestalte sich oftmals die Programmierung einer geeigneten Benutzeroberfläche für die Technologie eines Smartphones, wo beispielsweise nur ein kleiner Bildschirm zur Verfügung steht.
Trotz dieser Herausforderungen läuft Tor bereits auf einer Vielzahl von Geräten. Eher als Nerd-Witz dürfte sich die vorgestellte Tor-Version für "Chumby one", einen auf ARM und Linux basierenden Wecker (!) erweisen. Daneben kann Tor aber auch auf zahlreichen verbreiteten Telefonen benutzt werden. So habe sich der Port auf das Nokia N900 aufgrund der guten Hardware einfach gestaltet, berichtete Bonetti. Auch für Android gebe es einen Port namens "Orbot" - es handle sich dabei sogar um den bisher besten Tor-Port im Reich der mobilen Geräte.
Spezielle Aufmerksamkeit widmete Bonetti den "iDevices", also unter Apples iOS laufenden Geräten wie dem iPhone und iPad. Für diese stellte er kürzlich selbst einen Tor-Port fertig, nachdem ein älterer Port aus unbekannten Gründen mitsamt dem Autor in der Versenkung verschwand. Bonetti berichtete, das iPhone verfüge über eine vergleichsweise leistungsstarke Hardware, was bei seinen Bemühungen geholfen habe. Allerdings funktioniert sein Port nur auf iPhones, bei denen zuvor ein Jailbreak durchgeführt wurde. Auf Nachfrage erklärte der Programmierer, er entwickle seine Software unter Linux, während das von Apple verteilte "Entwickler-Paket" nur unter Mac OS funktioniere. Zudem würden im App Store strenge Regeln gelten - beispielsweise dürfe kein Daemon laufen und auch die von einer App genutzte Bandbreite sei limitiert -, die bei einem Tor-Client nur schwer umzusetzen seien. Eine Portierung in den App Store sei zwar technisch möglich, aber momentan aufgrund der großen Hindernisse nicht geplant. Vielmehr plane man momentan eine Verbesserung der Benutzeroberfläche. Zudem sei der Browser Safari Mobile ein Risiko für die Privatsphäre, da er über keinen richtigen "Inkognito-Modus" verfüge. Bonetti und sein Team wollen daher einen alternativen, besser für diesen Zweck geeigneten Browser entwickeln.
Durch die vorgestellten Tor-Clients können die Nutzer mobiler Geräte ihre Privatsphäre zumindest beim Hoch- oder Herunterladen sensibler Daten schützen. Allerdings, so Bonetti, gebe es zwei grundlegende Einschränkungen bei dieser Nutzung von Tor. Die eine sei das bereits erwähnte Fehlen eines sicheren Browsers, ein Problem, das die Programmierer allerdings wie erwähnt versuchen wollen zu beheben. Die zweite Einschränkung ist die Tatsache, dass die Tor-Nutzung aufgrund der ständigen Hardware-Auslastung die Batterie mobiler Geräte äußerst schnell entlädt. Bei einigen Verwendungszwecken dürften die Nutzer das jedoch für ihre Privatsphäre gern in Kauf nehmen.
Quelle : www.gulli.com
-
Den "Night Talk" am Abend des ersten Vortragstages der IT-Sicherheitskonferenz DeepSec übernahm außerplanmäßig Stefan Schumacher. Dieser führt als Sicherheitsberater unter Anderem sogenannte "Security Awareness Campaigns" durch, die Nutzer für die Sicherheit sensibilisieren sollen. Dies machte er auch zum Thema seines Vortrags.
Bei den von Schumacher durchgeführten Weiterbildungsmaßnahmen werden die Mitarbeiter über IT-Sicherheit geschult. Um dies sinnvoll zu vermitteln, so Schumacher, spielten die verschiedensten Fachgebiete - er nannte Projekt Management, Psychologie, Sozialwissenschaften und Erziehungswissenschaften - eine Rolle. Daneben müssen die Berater natürlich auch über gutes technisches Fachwissen verfügen.
Obwohl derartige Schulungen immer an den speziellen Betrieb angepasst sein müssten, gebe es einige Grundsätze, die auf quasi jeden Betrieb zuträfen. Es habe sich herausgestellt, so Schumacher, dass es nicht funktioniere, nur einige Vorgesetzte zum Thema IT-Sicherheit zu schulen und zu hoffen, dass diese sinnvolle Verhaltensweisen an die Kollegen weitergeben. Dieses sogenannte "Champion-Modell" habe sich in der Vergangenheit als ineffektiv erwiesen. Es sei aber dringend notwendig, dass das Management in entsprechende Maßnahmen einbezogen werde und sich an die Regeln halte. Dann nämlich könnte die Vorbildfunktion der Vorgesetzten durchaus einen positiven Effekt haben.
Eine der Schwierigkeiten, so Schumacher, sei es, dass die IT-Abteilung eines Unternehmens für die konsequente Umsetzung sinnvoller Sicherheitsregeln mit allen anderen Abteilungen zusammenarbeiten müsse. Häufig seien aber diese eher technisch interessierten und ausgebildeten Mitarbeiter nicht besonders kommunikativ, so dass es sich schwierig gestalte, eine derartige Kooperation zu erreichen.
Schumacher erklärte, um Inhalte - darunter auch die angesprochenen Sicherheitsregeln - gut vermitteln zu können, müsse man berücksichtigen, dass Menschen mit unterschiedlichem Hintergrund die Realität auch unterschiedlich wahrnehmen. Diese sogenannte "gefühlte" Realität mache es oftmals schwer, menschliches Verhalten vorauszusagen. Somit könnten auch mögliche Fehlerquellen bei bestimmten technischen Maßnahmen teilweise nur schwer im Voraus erkannt werden. Zudem hätten Techniker und die Mitarbeiter anderer Abteilungen oftmals eine sehr unterschiedliche Sicht der Dinge. Es herrsche ein Interessenkonflikt: die Admins wollen primär ein hohes Sicherheitsniveau, die Nutzer wollen möglichst bequem und effizient ihre Arbeit erledigen können. Schumacher sagte, es gebe allerdings Strategien, um diese Problematik zu überwinden. Es müsse viel kommuniziert werden, man müsse versuchen, sich in die Lage der Anderen zu versetzen ("Empathie") und es sollten gemeinsame Ziele - insbesondere der Erfolg des Projekts oder Unternehmens - betont werden.
Anschließend sprach Schumacher über den Aufbau einer erfolgreichen "Security Awareness Campaign". Als Erstes, so der Experte, müsse man die Benutzer motivieren, sich für Sicherheit zu interessieren, denn ohne Motivation könne es auch keinen Lernerfolg geben. Schumacher sprach in diesem Zusammenhang kurz über verschiedene Formen der Motivation und darüber, wie sich diese am besten nutzen lassen. So sei die sogenannte intrinsische Motivation, die aus den eigenen Zielen und Wünschen einer Person entsteht, verlässlicher als die durch äußere Faktoren - wie Belohnungen - hervorgerufene extrinsische Motivation. In jedem Fall, so Schumacher, sei für die Motivation der Mitarbeiter eine optimale Kommunikation erforderlich. Zudem dürfe man nicht vergessen, dass ein Lernerfolg stets eine gewisse Zeit in Anspruch nehme, insbesondere, wenn bereits verinnerlichte Verhaltensweisen geändert werden müssten.
Neben der Motivation muss jemand, der eine erfolgreiche Sicherheits-Schulung durchführen will, sich laut Schumacher bemühen, den Blickwinkel des Benutzers einzunehmen. So lassen sich Probleme leichter identifizieren und die Benutzer bekommen das Gefühl, dass ihre Sorgen und Wünsche ernst genommen werden. Daher sollte man sich auch bemühen, prägnante Beispiele aus dem realen Leben zu verwenden. Dadurch lassen sich Erklärungen leichter nachvollziehen als wenn diese auf eine rein wissenschaftliche und womöglich realitätsferne Art vermittelt werden.
Den Benutzern müsse vermittelt werden, dass "ihr System wichtig ist und Fehler ernsthaften Schaden anrichten können", erklärte Schumacher. Allerdings müsse man dann auch sinnvolle Handlungsanweisungen geben und den Benutzern klarmachen, wie sie derartige Fehler vermeiden könnten. Fühlen sich die Mitarbeiter nämlich permanent unsicher, werden sie leichter zu manipulieren und damit beispielsweise zu leichten Opfern von Social-Engineering-Kampagnen.
Schumacher betonte daher die Wichtigkeit der Entwicklung sogenannter "Security Guidelines", also verbindlicher und detaillierter Sicherheitsregeln. Diese müssten "präzise und gut erklärt" sein und es müssten klare strategische Ziele definiert werden. Es müssten zudem klare Zuständigkeiten definiert werden und die Mitarbeiter müssten einen Ansprechpartner für ihre Fragen, Probleme und Anregungen haben.
Bei all diesen Maßnahmen sieht Schumacher, wie er erklärte, vor allem ein Problem - eines, das heutzutage vielen Menschen bekannt vorkommen dürfte: Geisteswissenschaftler seien oftmals nicht an Technik interessiert, so dass die sinnvolle Vermittlung technischer Sachverhalte nur unzureichend dokumentiert und erforscht sei. Er hoffe, so der Experte, dass sich dies in Zukunft ändern wird.
Quelle : www.gulli.com
-
Auf der IT-Sicherheitskonferenz DeepSec hielt Sharon Conheady, deren Unternehmen "First Defence Information Security" Trainings und Auditing zum Thema Social Engineering durchführt, einen Vortrag unter dem Titel "The Future of Social Engineering". Dabei ging sie insbesondere auf die zunehmend größere Rolle Sozialer Netzwerke beim Social Engineering ein.
Um den Bogen zur Zukunft des Social Engineering zu schlagen, begann Conheady mit der Vergangenheit. Sie berichtete, Social Engineering gebe es schon "seit Ewigkeiten". Der Ausdruck selbst allerdings entstand erst im Zuge der industriellen Revolution. Zunächst war damit die Anpassung sozialer Gegebenheiten zum eigenen Vorteil - idealerweise zum Vorteil der Allgemeinheit - gemeint, eine Verwendung des Begriffs, die in der Sozialwissenschaft bis heute zu finden ist. In den 1990er Jahren kam jedoch eine zweite Bedeutung hinzu: das Eindringen in IT-Systeme durch Manipulation der damit betrauten Menschen. Mit dieser Form des Social Engineering befasst sich auch Conheady bei ihrer beruflichen Tätigkeit (gulli:News berichtete).
Conheady brachte einige Beispiele für Social-Engineering-Angriffe, die ohne Computer auskommen. So habe es mehrere Personen gegeben, die sich jahrelang erfolgreich als Piloten bei kommerziellen Fluglinien ausgaben. Die Expertin bemerkte, dass dieser Trick durch das Internet sogar erleichtert würde: war es früher äußerst schwierig, die passende Uniform für diese Rolle zu finden, kann man diese mittlerweile - wenn auch für teures Geld - auf eBay kaufen.
Die erste Person, die das Social Engineering in großem Stil in der IT-Welt einführte, sei in den 1990er Jahren der US-Amerikaner Kevin Mitnick alias "Condor" gewesen, berichtete Conheady. Dieser schrieb zum Thema auch das recht bekannte Buch "The Art of Deception" ("Die Kunst der Täuschung").
Conheady nannte einige gängige Taktiken, mit denen Social-Engineering-Spezialisten ihre Opfer zu täuschen versuchen. Eine davon ist es, eine Autoritätsperson - sei es einen Vorgesetzten, jemanden mit viel sozialem Prestige oder auch den Netzwerk-Admin, der in IT-Dingen das Sagen hat - darzustellen. Viele Menschen hinterfragen dann auch merkwürdig oder riskant wirkende Anweisungen nicht, entweder aus Vertrauen in die Kompetenz der besagten Person oder auch aus Furcht vor negativen Konsequenzen.
Die zweite von Conheady genannte Taktik ist die Bezugnahme auf aktuelle Ereignisse. Jeder dürfte beispielsweise Spam- und Phishing-Mails kennen, die mit Schlagzeilen über politische Ereignisse, angesagte Gadgets, Naturkatastrophen oder Prominente das Interesse der Nutzer auf sich lenken wollen. Auch in anderen Kontexten findet diese Taktik teilweise Verwendung.
Auch eine weitere Taktik findet laut Conheady immer wieder Verwendung: dem Opfer wird ein dermaßen attraktives Geschäft angeboten, dass er die Vorsicht schnell außer acht läßt. Sei es nun der bekannte Nigeria-Scam mit seiner angeblichen reichen Belohnung oder die reihenweise verbreiteten supergünstigen iPhone- und iPad-Angebote der Cyberkriminellen.
Ein weiterer Faktor hilft den "Social Engineers" laut Conheady oftmals, unentdeckt zu bleiben: vielen Opfern ist es so peinlich, auf ein derartiges Schema hereingefallen zu sein, dass sie nicht zur Polizei gehen. Auch in der Unternehmenswelt werden derartige Vorfälle gern totgeschwiegen. Das hat natürlich den Nachteil, dass die Täter nicht gefasst und potentielle weitere Opfer nicht gewarnt werden - ein großer Vorteil für die Angreifer.
Conheady erklärte, dass es oftmals erfolgreich sei, über einen Umweg die eigentliche Zielperson anzugreifen: indem man zunächst deren Freunde ins Visier nimmt. Von diesen lassen sich oftmals wertvolle Informationen gewinnen, die die Erfolgschance eines Angriffs erhöhen. Eine Alternative ist es, beispielsweise den Account eines Freundes im Instant Messenger oder Sozialen Netzwerk zu übernehmen und somit aus einer Position der scheinbaren Vertrauenswürdigkeit aus zu handeln. Diese Taktik, so Conheady, sei seit etwa zehn Jahren unter Online-Kriminellen verstärkt zu beobachten.
Ebenfalls ein Faktor erfolgreicher Social-Engineering-Kampagnen sei es, bei den Opfern Emotionen hervorzurufen, so Conheady. Sei es nun Mitleid mit angeblich Benachteiligten, Wut über unfaire Handlungsweisen in Politik oder Wirtschaft oder die Freude über gute Nachrichten vom Lieblings-Star - emotionale Nachrichten erhöhen die Erfolgschancen eines Social-Engineering-Angriffs erheblich.
Soziale Netzwerke entwickeln sich zunehmend zu einem wertvollen Hilfsmittel beim Social Engineering. Conheady erklärte daher, wie sich in diesen Communities eine erfolgreiche Recherche durchführen läßt, an deren Ende man äußerst wertvolle Informationen über das potentielle Opfer hat. Sie erklärte, dass die Angreifer oftmals beim business-orientierten Netzwerk LinkedIn beginnen. Dort lasse sich beispielsweise die Unternehmensstruktur erforschen, die man dann benutzen könnte, um sich eine glaubwürdige "Legende" zu verschaffen. Anschließend könne man sich mit einem gefälschten Profil in das soziale Umfeld des Unternehmens einbringen und weitere Informationen sammeln. Dabei würden Personen identifiziert, bei denen eine weitere Recherche - etwa in anderen sozialen Netzwerken wie Facebook - lohnend sei. Sehr nützlich, so Conheady, seien auch kleine Umfragen oder Steckbriefe, die die Benutzer ausfüllen können. Dort ließen sich Vorlieben, Abneigungen und Interessen erkennen, die kreativen Angreifern viele Möglichkeiten für eine gezielte Manipulation bieten. Auch Geotagging-Features wie Facebook Places oder Twitters neuer Location-Dienst seien für Verbrecher oft hilfreich. Mit ihrer Hilfe ließe sich beispielsweise herausfinden, wann ein Haus leer stehe und man somit dort einbrechen könne. Eine andere Möglichkeit sei, die Zielperson gezielt in der Öffentlichkeit anzusprechen oder sogar zu überfallen.
Passend zum Thema des Vortrags beschrieb Conheady natürlich auch, wie ihrer Meinung nach die Zukunft des Social Engineering aussieht. Sie erklärte, wie bereits in der Vergangenheit werde auch zukünftig der Grundsatz "dieselben Tricks, neue Technologie" gelten - während sich die verwendeten Technologien und Medien ändern, bleiben die zugrunde liegenden psychologischen Tricks seit Jahrhunderten gleich. Daran wird sich laut Conheady auch zukünftig nichts ändern. An den Technologien allerdings wird sich einiges ändern, so die Expertin. So vermutet sie insbesondere, wie bereits angedeutet, eine verstärkte Nutzung sozialer Netzwerke sowohl zur Recherche als auch zur Durchführung der eigentlichen Angriffe. Ganz allgemein werde zukündtig mehr Technologie zur Verfügung stehen, um Angriffe zu verbessern und zu automatisieren, prophezeihte Conheady.
Insgesamt, so vermutet Conheady, werden die Angriffe in diesem Bereich wesentlich ausgeklügelter, komplexer und gezielter werden. Dies deckt sich mit Trends in anderen Bereichen der IT-Sicherheit, in denen ebenfalls gezielte Attacken ein zunehmendes Problem darstellen.
Ebenfalls an den Rest der Cybercrime-Szene erinnert der letzte von Conheady genannte Trend: Social-Engineering-Angriffe werden zukünftig nach Einschätzung der Expertin zunehmend von Spezialisten als Dienstleistung angeboten werden. "Social Engineering as a Service" hätte beispielsweise den Vorteil, dass derartige Gruppen Personen für die verschiedensten Rollen beschäftigen können, die beispielsweise bestimmte Fremdsprachen sprechen. Auch in anderen Bereichen der Cybercrime-Szene ist eine zunehmende Spezialisierung und Professionalisierung zu beobachten.
Es wird sich zeigen, ob sich die von Conheady aufgestellten Prognosen in dieser Form bewahrheiten. Eines jedoch kann wohl als sicher gelten: in der einen oder anderen Form wird das Social Engineering den Internetnutzern - und wohl nicht nur diesen - sicher erhalten bleiben.
Quelle : www.gulli.com
-
Der Vortrag des israelischen Programmierers und IT-Sicherheitsexperten Ian (Iftach) Amit auf der Sicherheitskonferenz DeepSec stand unter dem Titel "Cyber[Crime—War] - Connecting the dots". Tatsächlich befasste sich Amit detailliert mit den Zusammenhängen zwischen staatlichen Cyberwaffen und "normaler" Online-Kriminalität.
Er wolle "keinen FUD-Vortrag" halten, betonte Amit gleich zu Anfang. Dieser Ankündigung wurde er durch kritische Hinterfragung gängiger Schreckensszenarien zum Cyberwar auch weitgehend gerecht, und doch waren einige der von ihm präsentierten Forschungsergebnisse durchaus besorgniserregend.
Seine Forschungen zum Thema begann Amit, nachdem er entdeckte, dass mehrfach militärisches Material auf den Servern cyberkrimineller Organisationen auftauchte. Dies widersprach dem üblichen, profit-orientierten Vorgehen der Online-Kriminellen massiv, so dass der Sicherheitsforscher beschloss, die Hintergründe näher zu untersuchen.
Seine Erklärungen begann Amit mit einer Erläuterung der Begriffe Cybercrime und Cyberwar. Der Unterschied, so der Experte, liege allein beim Kontext - sind staatliche Stellen involviert und dienen die Angriffe einem strategischen Ziel, oder ist dies nicht der Fall? Viele Methoden seien in beiden Bereichen anzutreffen, erklärte Amit - und es gebe auch durchaus Personen, die in beiden Bereichen aktiv seien.
Amit, der unter anderem für die israelische Armee arbeitet, betonte, dass ein Cyberwar durchaus eine ernstzunehmende Bedrohung auch für Zivilisten darstellen könnte. Insbesondere bei Angriffen auf die kritische Infrastruktur seien sogenannte "Kollateralschäden" durchaus denkbar.
Der Sicherheitsforscher sprach danach über die Cyberwar-Bemühungen einiger ausgewählter Länder, darunter der USA, China und Russland. Er bemerkte, dass die USA ihre diesbezüglichen Aktivitäten hervorragend dokumentierten, häufig Übungen wie "Cyber Storm" durchführten und außerdem momentan massiv um die Rekrutierung neuer Mitarbeiter in diesem Bereich bemüht seien. In Russland dagegen gehe es in Bezug auf die Cyber-Kriegführung eher chaotisch zu, es seien viele Organisationen involviert und oftmals keine klare Strategie erkennbar. Eine Besonderheit Russlands seien die "National Youth Associations" ("Nashi"), die ihre Anweisungen direkt von der politischen Elite bekämen. Erstaunlich weit in Sachen Cyberwar ist nach Amits Ansicht der Iran. Dessen Infrastruktur sei in den letzten Jahren rasant verbessert worden. Allerdings fehle es an einer guten Dokumentation und viele Informationen seien geheim, so dass sich nicht über alle Einzelheiten gesicherte Aussagen treffen ließen. In Israel, berichtete Amit, sei eine Besonderheit, dass ein Großteil des Personals in der Armee selbst ausgebildet werde. Aufgrund der zwei- bis dreijährigen Wehrpflicht könne man viele talentierte junge Menschen in den entsprechenden Fachgebieten schulen. Zudem hätten in Israel sämtliche verschiedenen Waffengattungen und Geheimdienste eigene Abteilungen für den Cyberkrieg.
Es folgte eine kurze Einführung in die Führung von Cyberangriffen und die Verteidigung dagegen. Die Angriffe, so Amit, seien stets "höchst selektiv" und auf militärische Ressourcen oder kritische Einrichtungen gezielt. Die Verteidigung gestalte sich äußerst schwierig, da auch zivile Ressourcen gefährdet seien. Es sei dabei auch eine legitime Verteidigungstaktik, das Internet oder bestimmte Ressourcen darin für Zivilisten unzugänglich zu machen, um sie besser schützen zu können, so die Ansicht des Experten.
Anschließend erläuterte Amit das Vorgehen der Cyberkriminellen detaillierter. Die dortigen Gruppen würden äußerst effizient und profit-orientiert arbeiten. Die meisten Angriffe seien ungezielt ("Carpet Bombing"), es gebe allerdings auch gezielte Angriffe, insbesondere auf Wirtschaftsunternehmen. Die Online-Kriminellen hätten mittlerweile recht hochentwickelte Methoden entwickelt, Verteidigungsmaßnahmen zu umgehen, wie etwa selbst kompilierte und stets leicht veränderte Binaries - etwa beim bekannten Computerschädling ZeuS - und die Verwendung nicht überwachter oder verschlüsselter Ports wie Port 80, 443 und 53.
In Bezug auf den Cyberkrieg nannte Amit als eine Unterkategorie den sogenannten "Hacktivismus", also politisch motivierte Cyber-Angriffe durch Einzelpersonen oder zivile Gruppen. Viele Cyber-Angriffe, so Amit, gingen daher von zivilen Netzen aus. Allerdings sei es nicht immer so einfach, private und staatliche Aktivitäten zu trennen. In Russland gebe es beispielsweise eindeutige Verbindungen zwischen bekannten Cybercrime-Hostern und der Regierung. So hätten diese Hosting-Firmen gleichzeitig unerwünschte politische und News-Websites lahmgelegt und "normales Cybercrime-Zeug" durchgeführt. Dies ergibt interessante technische Möglichkeiten. So ist Amit etwa der Ansicht, dass der erfolgreiche Angriff der Hacktivisten-Gruppe "Iranian Cyber Army" auf den beliebten Microblogging-Dienst Twitter nicht allein demonstrativen Charakter gehabt hätte. Vielmehr, so der Sicherheitsforscher, habe man damit die Medien beschäftigt halten wollen. Am selben Tag nämlich habe der Iran eine Ölquelle im Irak annektiert - was aber dank des spektakulären Angriffs auf Twitter kaum Medienpräsenz erfuhr. Allgemein sei es wichtig, Cyber-Angriffe und sonstige kriegerische Handlungen zueinander in Beziehung zu setzen, um den richtigen Kontext zu erhalten, betonte Amit.
Für die Zukunft prophezeihte Amit, dass zahlreiche billige Geräte massenhaft in armen Ländern verteilt werden könnten. Da dort oft das Know-How fehlt, könnten sich diese Geräte als leichte Beute für Cyberkriminelle und Cyberkrieger erweisen. Daneben deutete Amit an, dass es noch effektivere Tools, "Internet-Massenvernichtungswaffen", geben könnte.
Um die Bedrohung durch Cyberwar und Cybercrime unter Kontrolle zu bekommen, sei ein vorgeschlagenes "Cyberwar-Abkommen", das konventionelle Gegenschläge bei Cyber-Angriffen erlaubt, "eine gute Idee", sagte Amit. Er begründete das damit, dass dies als Abschreckung dienen würde. Zudem würden die Staaten so motiviert, ihre Systeme besser abzusichern. Die Kritik, dass dies aufgrund der schlechten Zurückverfolgbarkeit von Angriffen problematisch sei, wies Amit zurück. Die Staaten würden den politischen Kontext kennen, so der Experte. Zudem könnten gut abgesicherte Netze nicht ohne weiteres als "Relais" für Cyber-Angriffe verwendet werden.
Zunächst jedoch, meinte Amit, müsse man sich des Cybercrime-Problems annehmen. Diese Form der Kriminalität erlebe aufgrund fehlender Gesetze und schlechter internationaler Kooperation derzeit einen Boom. Dies müsse man vor dem Abschließen von Cyberwar-Verträgen beheben.
Quelle : www.gulli.com
-
Der Vortrag des IT-Sicherheitsberaters Dr. Alexandr Yampolskiy auf der IT-Sicherheitskonferenz DeepSec stand unter dem Titel "Malware goes to the Movies". Dahinter verbarg sich eine detaillierte Betrachtung der Taktik, Computerschädlinge über manipulierte Multimedia-Dateien - häufig Videos - zu verbreiten.
Yampolskiy begann seinen Vortrag mit der Erklärung, wieso ausgerechnet Multimedia-Content von Cyberkriminellen so gerne zur Malware-Verbreitung genutzt wird. Er erklärte, Downloads von Musik und Videos - sowohl legal als auch illegal - seien momentan extrem beliebt. Auch das Austauschen von Bildern über das Internet ist nach wie vor populär. Schnelle Leitungen mit hoher Bandbreiten erlauben es, derartige Dateien in großen Mengen zur Verfügung zu stellen oder zu konsumieren. Dadurch bietet sich Cyberkriminellen ein höchst attraktives "Jagdrevier". Zudem seien viele Menschen der Ansicht, dass derartige Dateien - im Gegensatz zu ausführbaren Dateien wie Spielen oder Bildschirmschonern - relativ sicher sind. Selbst unter Menschen, die über Kenntnisse im Bereich IT-Sicherheit verfügen, sei diese Ansicht recht verbreitet, berichtete Yampolskiy. Dadurch werde entsprechenden Dateien eher vertraut, was die Erfolgschancen der Angreifer natürlich erhöhe.
Es folgte eine Zusammenfassung der aktuellen Situation im Bereich "Multimedia-Malware". In den meisten Fällen handele es sich um ungezielte Attacken, sagte Yampolskiy. Per Social Engineering oder über Suchmaschinen würden die manipulierten Dateien massenhaft verbreitet in der Hoffnung, auf genug vertrauensselige Opfer zu stoßen.
Die Malware, so Yampolskiy, verberge sich zur Hälfte in Video-Dateien. 30% seien in Musik untergebracht, während die anderen 20% auf Bilddateien entfielen. Besonders häufige Quellen für derart verseuchte Dateien seien Soziale Netzwerke und Peer-to-Peer-Tauschbörsen, aber auch extra zu diesem Zweck angefertigte Imitationen von News-Portalen. Insbesondere Soziale Netzwerke seien populär, da dort häufig mit größerem Vertrauen der Opfer zu rechnen sei. Yampolskiy berichtete von einer Studie des IT-Sicherheitsunternehmens Kaspersky, die zu dem Ergebnis kam, dass infizierte Dateien in Sozialen Netzwerken bei 10% der Nutzer erfolgreich den Rechner infizieren. Verschickt man derartige Dateien beispielsweise als E-Mail-Anhang, liegt die Erfolgsquote bei lediglich 1%.
Inhalt der Videos seien - neben beliebten Songs und Filmen - häufig aktuelle Ereignisse, sagte Yampolskiy. So seien beispielsweise Naturkatastrophen, Todesfälle Prominenter oder auch Wahlen und andere wichtige politische Ereignisse beliebt.
Bei Kinofilmen sei die Quote verseuchter Dateien oftmals vor dem DVD-Start des Films am höchsten, berichtete der Experte. Dann seien teilweise bis zu 90% der im Umlauf befindlichen Kopien mit Malware infiziert. Nach dem Verkaufsstart der DVD und somit dem Anstieg sauberer Kopien gehe die Quote dann stark zurück.
Anschließend beleuchtete Yampolskiy exemplarisch einige Angriffsvektoren. Als besonders angreifbar nannte er Microsofts Musik- und Video-Formate. So sei beispielsweise der Befehl "URLANDEXIT" in Microsofts ASF-Videos äußerst angreifbar. Der Befehl dient dazu, Zusatz-Content im Webbrowser zu öffnen. Es liegt auf der Hand, dass dieser Content auch bösartiger Natur sein kann.
Auch das im Format vorgesehene DRM, so Yampolskiy, lasse sich für Angriffe nutzen. DRM verlangt eine umfangreiche Kommunikation zwischen Client und Server. Verwenden die Cyberkriminellen nun einen eigenen Server als Lizenz-Server - was technisch ohne weiteres möglich ist - können sie von dort Schadcode nachladen. Beispielsweise könnte auch ein Pop-Up-Fenster mit einem Link auf angeblich notwendige Zertifikate oder Codecs - die in Wirklichkeit Malware enthalten - oder einer angeblichen Lizenzvereinbarung, die der Benutzer bestätigen muss, erscheinen.
Daneben spielen natürlich noch weitere Tricks eine Rolle. So werden ausführbare Dateien häufig umbenannt und somit als Video getarnt - je nach Einstellungen ist eine Datei mit der Endung ".avi.exe" nicht auf den ersten Blick als ausführbare Datei zu erkennen. Ebenfalls nach wie vor aktuell und beliebt ist der "Codec-Trick": ein Video verlangt vom Benutzer die Installation eines Codecs, der sich dann als Trojaner herausstellt. Gemeinsam haben sämtliche Kampagnen laut Yampolskiy eine Social-Engineering-Komponente, denn der Benutzer muss für einen erfolgreichen Angriff auf jeden Fall dazu gebracht werden, das manipulierte Video herunterladen und abzuspielen.
Angriffe über manipulierte Bilddateien sind dagegen meist passiver Natur, das heißt, es reicht aus, wenn der Benutzer die Seite mit dem Bild ansurft. Yampoksiy erklärte, dass hierbei meist Browser-Schwachstellen ausgenutzt werden.
Ebenso wie zum Download angebotene Multimedia-Dateien sind aber auch auf Websites eingebettete Videos nicht immer harmlos. Zwar kann bei großen Seiten wie YouTube von einem guten Sicherheitsniveau ausgegangen werden, da diese genau überprüfen, was hochgeladen wird. Nicht immer ist jedoch YouTube drin, wenn ein Video nach YouTube aussieht. Yampolskiy berichtete von einer ganzen Reihe im Netz befindlicher YouTube-Klone, die der Verbreitung von Malware dienen. Entsprechende Tools seien mittlerweile problemlos auf dem Schwarzmarkt zu bekommen. Einer der Angriffswege hierbei sei die verwendete Programmiersprache Flash, so der Sicherheitsexperte - immerhin habe die Firma Adobe in letzter Zeit eine äußerst schlechte Sicherheitsbilanz aufzuweisen. Daneben kommen auch hier häufig Varianten des Codec-Tricks zum Einsatz. Häufig werden sogar je nach Betriebssystem verschiedene Malware-Typen installiert. Yampolskiy äußerte die Einschätzung, dass derartige Seiten, wenn sie gut gemacht sind, sehr erfolgreich sein können.
Wie aber kann man derartige Malware erkennen und sich idealerweise auch dafür schützen? Yampolskiy nannte hierzu einige Maßnahmen. So sei es häufig eine gute Idee, nicht benötigte Funktionalität - insbesondere "URLANDEXIT" - im Mediaplayer oder direkt in der Windows-Registry zu deaktivieren. Daneben könne man auch Tools zur Überprüfung von Bild- oder Videodateien auf Schadsoftware herunterladen. Am wichtigsten sei aber, die Tricks der Cyberkriminellen zu kennen und entsprechend vorsichtig zu handeln. Die meisten der vorgestellten Attacken funktionieren nämlich nur, wenn der Benutzer aktiv dazu beiträgt. Für Unternehmen hieße dies auch, Mitarbeiter entsprechend zu schulen, erklärte Yampolskiy. Für wenig hilfreich hält der Sicherheitsexperte dagegen den gut gemeinten Ratschlag, "fragwürdigen" Websites fernzubleiben. Oftmals machen die betreffenden Seiten nämlich einen durchaus seriösen Eindruck, oder es werden gleich legitime Seiten wie Social Networks für die Verbreitung genutzt. Ebenso könne der Umstieg auf einen anderen Mediaplayer als den von Windows mitgelieferten nicht unbedingt helfen. Dieser mache nur dann einen Unterschied, wenn nicht - wie mittlerweile häufig der Fall - der komplette ASF-Stack installiert sei, so Yampolskiy.
Quelle : www.gulli.com
-
Eines der Hauptthemen der diesjährigen DeepSec war das Thema "Mobile Security". Damit befasste sich auch Ralf-Philip Weinman, der unter dem Titel "All Your Baseband Are Belong To Us" einen Einblick in die diversen Sicherheitslücken von GSM, UMTS und auch den diversen Smartphone-Implementierungen gab.
Weinman begann mit einer Einführung in die relevanten Teile der Mobilfunk-Infrastruktur. Die relevanten Teile für eine Betrachtung der Sicherheitsaspekte seien das Mobiltelefon selbst, der verwendete Mobilfunkmast (Basisstation) sowie dessen Verbindung mit "der Welt", so der Sicherheitsexperte. Der interessanteste Angriff sei dabei, so zu tun, als sei man eine Basisstation, und dadurch die vom Mobiltelefon gesendeten Daten mitlesen zu können oder dem Telefon seinerseits manipulierte Daten zu schicken.
Dazu muss man zunächst einmal den Aufbau der Verbindung zwischen Mobiltelefon und Basisstation näher kennen. Dieses sogenannte UM- oder Air-Interface wird - im Gegensatz zum klassischen OSI-Schichtenmodell - in drei Schichten oder "Layer" eingeteilt. Die "interessanten Angriffe", so Weinman, finden auf Layer drei statt. Dieser wird als "physical" Layer bezeichnet; dort findet die technische Datenübertragung statt. Zur genaueren Einteilung, so Weinman, könne dieser Layer wiederum in drei Sub-Layers unterteilt werden.
Es folgte ein Exkurs zu der Motivation eines Angreifers dafür, sich ein Smartphone vorzunehmen. Smartphones, so Weinman, seien für Cyberkriminelle attraktive Ziele. Sie seien momentan äußerst beliebt, was eine lohnende Anzahl potentieller Opfer verspricht. Ihre Nutzer seien oft wohlhabend und einflussreich. Zudem gebe es bei diesen Geräten nur eine begrenzte Anzahl möglicher Hardware- und Software-Versionen, was es einfacher macht, in größerem Stil Angriffe durchzuführen.
Smartphones, erklärte Weinman, seien aus der Verbindung von Mobiltelefonen und PDAs entstanden und hätten PDAs weitgehend ersetzt. Die Geräte weisen eine Multi-CPU-Architektur auf: sie verfügen über einen "Application Processor" und einen "Digital Baseband Processor". Je nach Preis- und Leistungskategorie verfügen diese beiden Prozessoren über separaten oder gemeinsam genutzten Arbeitsspeicher. Weinman bemerkte, dass die Forschung im Bereich des Baseband-Prozessors "lange Zeit missachtet" worden sei. Dementsprechend weise dieser Teil der Architektur ernsthafte Sicherheitslücken auf. Populäre Hersteller dieser CPUs seien vor allem Quallcom (iPhone) und Infineon (viele Android-Geräte).
Die Verbindung aus unzureichend abgesicherten Geräten und einem in Sicherheits-Hinsicht veralteten Übertragungsprotokoll bietet Angreifern interessante Möglichkeiten. Die Codebasis für das Mobilfunk-Baseband sei in den 1990ern geschrieben worden - "mit einer 1990er-Einstellung zur Sicherheit", berichtete Weinman. Sämtliche im Netz befindlichen Einheiten würden als vertrauenswürdig angesehen. Sowohl GSM als auch UMTS böten zahlreiche Angriffsvektoren. Zudem gebe es fast keine Sicherheitsvorkehrungen gegen die Ausnutzung von Software-Schwachstellen.
Anschließend berichtete Weinman über mögliche Angriffsszenarien. Er erklärte, nur Layer drei habe die nötige Nachrichtenlänge, um eine "Payload" - also den eigentlichen Exploit-Code - dort unterzubringen. Deswegen fänden praktisch alle Angriffe dort statt. Allerdings werde in letzter Zeit auch der GPRS-Layer zunehmend unter Beschuss genommen. Eine Schwierigkeit sei es, Sicherheitslücken zu finden. Das sogenannte Fuzzing, also das Einspeisen willkürlicher Daten, bis es zu einem Absturz oder anderem unerwarteten Verhalten kommt, habe sich in der Praxis aufgrund unzureichender Diagnose-Möglichkeiten als nicht besonders effektiv erwiesen. Teilweise komme man über den Quellcode der Anwendungen weiter, sagte Weinman. Dieser sei zwar meist nicht öffentlich verfügbar, könne teilweise aber mit den richtigen Kontakten in Untergrund-Communities gefunden werden. In den meisten Fällen sei die erfolgversprechendste Taktik aber das Reverse Engineering der vorhandenen Binaries. Meist beginne man dabei mit einem der vom Hersteller verteilten Firmware-Updates, da diese häufig auch die Baseband-Firmware enthalten. Allgemein sei die Komplexität des Reverse Engineering je nach Art des Smartphones unterschiedlich. Hilfe komme oftmals auch aus der Jailbreaker-Community. Diese brauche Exploits, um ihre Freischalt-Software lauffähig zu machen, und teile mitunter die diesbezüglichen Informationen. Diese seien beispielsweise hilfreich, um Memory-Dumps zu Diagnosezwecken erzeugen zu können. Beim Reverse Engineering habe er zahlreiche Bugs gefunden, von denen einige auch das Ausführen von Schadcode über eine Remote-Verbindung erlauben, berichtete Weinman.
Warum sollten derartige Berichte uns Sorgen machen, warum sind sie für den durchschnittlichen Smartphone-Nutzer relevant? Weinman nannte dafür mehrere Gründe. So sei der Kauf der zum Imitieren einer Basisstation nötigen Hardware kein allzu großes Hindernis mehr. Auf eBay könne man gebrauchte Hardware zu einigermaßen moderaten Preisen kaufen. Zudem sei kürzlich mit dem Ettus USRP v1, den er kurz vorstellte, ein Gerät speziell für das Baseband-Hacking auf den Markt gekommen. Ein weiteter Grund zur Sorge für den Experten: Benutzer können sich - anders, als es oft im PC-Bereich der Fall ist - kaum durch eigenes Handeln oder die Verwendung bestimmter Software vor derartigen Angriffen schützen.
Dementsprechend betitelte Weinman den nächsten Teil seines Vortrags mit "The Baseband Apocalypse". Er entwarf darin ein Worst-Case-Szenario, wie die vorhandenen Sicherheitslücken in der Mobilfunk-Infrastruktur von entschlossenen Angreifern genutzt werden könnten. So könne man seine eigene Basisstation an einem belebten Platz oder aber an einem Ort, an dem sicherheitsrelevante Gespräche besonders häufig sind, aufstellen und somit die Erfolgsquote erhöhen. Daneben könne man Mobiltelefone aber auch nutzen, um Personen unbemerkt abzuhören oder anderweitig zu überwachen, da sich Kamera und Mikrofon über das Netz aktivieren lassen (dies führten die Ermittlungsbehörden einiger Länder in der Vergangenheit bereits durch). Man könne auch Schädlinge programmieren, die sich von einem Telefon zum anderen weiterverbreiten, sagte der Experte. Durch die richtige Malware sei es zudem möglich, ein Telefon permanent unbenutzbar zu machen ("brick"). Zudem gestalte sich die Aufklärung sicherheitsrelevanter Vorfälle häufig äußerst schwierig. Forensische Untersuchungen seien "in Baseband-Land sehr schwer" und benötigten oftmals Exploits.
Entwarnung für die Zukunft konnte der Experte nicht geben. Kaum jemand erwäge ernsthaft, ohne sein Mobiltelefon auszukommen, sagte er. Zudem seien viele schlechte Implementierungen auf dem Markt, die die Probleme verschlimmern würden. Einige Hoffnungen setze er aber in den in der Entwicklung befindlichen "Osmocom Baseband"-GSM-Stack. Dieser sei komplett quelloffen, so dass sich viele Menschen an der Suche nach Bugs beteiligen können. Dies könne die Sicherheitslage auf Dauer verbessern, meinte Weinman.
Nach seinen Forschungen suchte Weinman den Kontakt zu den betroffenen Firmen, um sie auf die gefundenen Lücken aufmerksam zu machen. Apple und Qualcomm hätten gut und schnell reagiert und die gemeldeten Fehler behoben, berichtete er. Microsoft habe die Zulieferfirma kontaktiert und warte derzeit auf deren nächsten Schritt. Die Antwort von ST-Ericsson sei dagegen nicht hilfreich gewesen; offenbar unterschätze man bei diesem Unternehmen die Risiken und halte das eigene Produkt für sicherer, als es wirklich sei.
Für die Zukunft hatte Weinman im wesentlichen düstere Aussichten. Er prophezeihte, dass UMTS und 3GPP zukünftig dieselben Probleme bekommen würden wie heute GSM. Eine bessere Energieversorgung durch Femtozellen werde den Angreifern zusätzlich helfen, ihre Hardware langfristig und diskret zu betreiben. Weinman betonte, es werde eine bessere Authentifizierungs-Methode für das Mobilfunknetz benötigt.
Zum Abschluss des Vortrags lieferte Weinman eine kleine Demonstration. Er setzte eine eigene Basisstation auf und schaffte es nach einigem Herumprobieren, darüber ein zu Testzwecken zur Verfügung gestelltes iPhone abstürzen zu lassen.
Quelle : www.gulli.com
-
Auf der IT-Sicherheitskonferenz DeepSec Ende November in Wien wimdete der selbständige IT-Sicherheitsforscher Fabian Mihailowitsch einen Vortrag dem Thema "Detection of Hardware Keyloggers". Er erklärte verschiedene Keylogger-Typen und ihre Merkmale und gab Tipps, wie man diese Art Geräte erkennen kann. Hardware-Keylogger seien schlecht erforscht, aber eine reale Bedrohung, sagte der Experte.
Keylogger lassen sich an verschiedenen Stellen des Rechners unterbringen. Als gebräuchliche Stellen zur Platzierung derartiger Geräte nannte Mihailowitsch den PS/2-Port - der allerdings zunehmend an Bedeutung verliert -, USB, PCI und Mini-PCI sowie die Tastatur. Er widmete sich in seinem Vortrag primär den auf PS/2 und USB basierenden Modellen. Diese werden zwischen Tastatur und Computer installiert. Je nach Modell werden die gesammelten Daten gespeichert oder weitergeschickt. Einige Modelle verfügen über hochentwickelte Features wie Suchfunktion, Verschlüsselung und eine Timestamping-Funktionalität. Hardware-Keylogger sind im Internet für unter 100 Euro zu bekommen. Zu beachten sei, dass Tastaturen mehr Informationen senden und empfangen als nur die gedrückten Tasten, sagte Mihailowitsch.
Die gängige Methode zur Erkennung von PS/2-Keyloggern seien Technologien, die den Stromverbrauch messen, erklärte der Experte. Er stellte daneben aber noch einen anderen Ansatz vor. Keylogger seien mit einem Passwort geschützt. Werde dies richtig eingegeben, werde der gesammelte Datenbestand zurückgespielt. Interessant sei dabei, dass jedes Keylogger-Modell ein Default-Passwort habe. Dieses werde oftmals von den Benutzern nicht geändert - teilweise sogar auf Empfehlung der Hersteller, da ein Keylogger, dessen Benutzer das Passwort nicht mehr weiß, zum Zurücksetzen eingeschickt werden muss. Mihailowitsch kam daher auf die Idee, gängige Passwörter durchzuprobieren und zu sehen, ob dadurch "Ghost Typing", also ein Zurückspielen gesammelter Daten, ausgelöst wird. Dies habe sich allerdings aufgrund von Performance-Problemen als nur bedingt umsetzbar erwiesen. Ein weiterer Ansatz sei es, zu untersuchen, ob die übertragenen Daten-Signale der Tastatur durch den Keylogger verändert werden. Für eine effektive Messung der Unterschiede - eine leichte Verzögerung der Signale - musste Mihailowitsch allerdings umfassendes "Kernel-Hacking" auf seinem Linux-Rechner betreiben. Zudem benötigt man dazu einen Referenzwert, man muss also wissen, wie sich das Signal auf dem eigenen Rechner verhält, wenn dieser "sauber" ist. Proof-of-Concept-Code für seine Ansätze will Mihailowitsch in Kürze unter https://code.google.com/p/hkd ins Netz stellen.
Wie aber kann man PS/2-Keylogger "besiegen"? Auch hierzu nannte Mihailowitsch neben dem Entfernen des Keyloggers mehrere Möglichkeiten. Eine ist, den Speicher des Geräts - beispielsweise mit Hilfe eines geeigneten Scripts - zu überfluten. Dann stellt dieses das Loggen ein; einige Modelle überschreiben auch bereits im Speicher befindliche Daten. Dies funktioniere recht gut, so der Sicherheitsforscher. Es nehme allerdings erhebliche Zeit, nämlich bis zu zwei Stunden, in Anspruch. Eine andere Möglichkeit ist es, den sogenannten "Scancode" des Keyboards umzustellen. Für die Tastatur ist das kein Problem, die gängigen Keylogger kommen nicht damit zurecht. Dieser Ansatz erfordert allerdings auch eine Anpassung im Betriebssystem. Unter Linux funktioniere dies mit etwas einmaligem Aufwand gut, berichtete Mihailowitsch. Für andere Betriebssysteme konnte er keine Angaben machen.
Anschließend widmete Mihailowitsch sich den USB-Keyloggern. Dazu erläuterte er zunächst die Funktionsweise von USB. Er erklärte, bei USB manage lediglich der Host Controller die Kommunikation mit den angeschlossenen Geräten. Er verschicke die Daten und frage auch die von den Peripheriegeräten gesammelten Daten aktiv ab ("Polling"). Die Daten werden daher in Paketen gesendet. Im Falle einer Tastatur bedeutet das, dass die gedrückten Tasten in Paketen abgelegt und dann an den USB-Host Controller geschickt werden. USB, so Mihailowitsch, kenne verschiedene Geräteklassen, die definieren, wie mit dem Gerät kommuniziert werde. Tastaturen gehörten zur "Human Interface Device"- (HID-)Klasse.
Bezüglich der Erkennung von USB-Keyloggern konnte Mihailowitsch ebenfalls einige Ansätze nennen. Seine erste Idee sei gewesen, auch hier den Stromverbrauch zu messen. Dies funktioniere allerdings nicht in Software und sei damit unpraktikabel. Der Bruteforce des Passwortes funktioniere nur bei bestimmten Keylogger-Modellen. Interessant und erfolgversprechend sei dagegen, dass ein eingesteckter Keylogger die USB-Topologie und die Geräte-Eigenschaften verändere. So gebe es einige Fälle, in denen ein Keylogger im Gerätemanager als USB-Hub - ohne Marken- und Modellangabe - auftauche. Andere Modelle würden die Geräteklasse der Tastatur ändern, so dass dieses als "Fullspeed"- oder "Self-Powered"-Device statt als HID angezeigt werde. Auch der Zeitmessungs-Ansatz ließe sich für USB adaptieren - in diesem Fall sei noch nicht einmal eine Anpassung des Kernels erforderlich. In einigen Fällen verhalte sich auch die Tastatur durch den Keylogger anders, es könne beispielsweise sein, dass die Funktion "USB Reset" nicht mehr funktioniere.
Mihailowitsch schlussfolgerte, dass sich technisch gesehen alle getesteten Keylogger - wenn auch mit teils erheblichem Aufwand - entdecken lassen. Eine Kombination generischer und individueller Bugs mache dies möglich. Die Frage ist, wie dieses Wissen praktisch so umgesetzt werden kann, dass der Sicherheitsstandard in durch solche Angriffe gefährdeten Unternehmen verbessert wird. Hier steht wohl noch einiges an Forschungs- und Entwicklungsaufwand bevor.
Quelle : www.gulli.com
-
Ron Bowes, Sicherheitsforscher, Reverse-Engineer und Programmierer für NMap und Nessus, hielt auf der IT-Sicherheitskonferenz einen Vortrag unter dem Titel "Passwords in the Wild". Es sollte um die Frage gehen: "Welche Passwörter verwenden Benutzer und wie knacken wir sie?" Anhand verschiedener Beispiele stellte er häufig genutzte Passwörter und Ansätze, sie herauszufinden, vor.
Bowes begann mit einer Einführung in das Hashing von Passwörtern. Bei Hash-Funktionen handelt es sich um sogenannte Einweg-Funktionen. Das heißt, man kann aus dem Hashwert nicht das ursprüngliche Paswort ausrechnen. Das bedeutet, dass man sich anderer Ansätze bedienen muss, um mit Hilfe eines Passwort-Hashes - beispielsweise aus einer Foren-Datenbank - auf das Passwort des Benutzers zu kommen. Der einfachste dieser Ansätze ist der sogenannte Bruteforce-Angriff. Dabei werden einfach alle möglichen Passwörter der Reihe nach durchprobiert. Das Problem ist, dass dieser Ansatz - gerade mit zunehmender Länge der Passwörter - extreme Mengen an Rechenzeit benötigt. Daher gibt es weitere Ansätze, die bei bestimmten Passwörtern weitaus effizienter sind und ergänzend eingesetzt werden können.
Als Software für die Passwort-Analyse schlug Bowes das bekannte Tool "John the Ripper" vor, dessen Funktionsumfang er kurz vorstellte. Anschließend widmete er sich - anhand einiger Beispiele von Foren-Datenbanken, die von Sicherheitsforschern analysiert wurden - häufigen Passwörtern. Diese können nämlich mit Hilfe von Wortlisten herausgefunden werden. Bei der sogenannten "Dictionary attack" werden alle Passwörter von einer Liste der Reihe nach durchprobiert. Die Listen können dabei je nach Einsatzzweck zusammengestellt werden.
Häufige Passwörter sind oftmals sehr schwach. So sind beispielsweise "password", "password1" und "abc123" als Passwörter populär. Das Wort "password" wird dabei häufig variiert, beispielsweise durch unterschiedliche Groß- und Kleinschreibung oder angehängte Nummern. Daneben finden sich - in Foren mit entsprechender Zielgruppe - auch nicht englischsprachige Varianten dieses Wortes wie das deutsche "Passwort" oder das finnische "salasana". Auch Varianten des Namens oder Nicknames werden recht häufig verwendet; entsprechende Wortlisten hatten in Bowes' Untersuchungen die höchste Trefferquote überhaupt. Daneben sind - gerade auf Seiten mit jüngerem Publikum - Schimpfwörter als Passwörter beliebt. Viele Menschen benutzen eine zweistellige Nummer hinter dem Passwort, bei der es sich häufig um ihr Geburtsjahr handelt. Ebenfalls beliebt sind Tastatur-Muster wie "qwerty" oder das deutsche "qwertz".
Teilweise basieren Passwörter auf dem Thema der Website. So finden sich auf religiösen Seiten teilweise Passwörter wie "Jesus" oder "heaven". Auf Porno-Seiten ist beispielsweise das Wort "pussy" beliebt. Und noch einen heißen Tipp hatte Bowes: "Auf Geek-Seiten versucht zuerst Star Trek-Passwörter."
Besonders effiziente Wortlisten lassen sich oftmals aus den Passwörtern bereits entschlüsselter Datenbanken zusammenstellen. Dabei sind Datenbank-Einbrüche in nicht englischsprachige Seiten besonders wertvoll, da Wortlisten in diesen Sprachen schwieriger zu bekommen sind.
Technisch gesehen macht es einen Unterschied, ob beim Hashing ein sogenannter "Salt", also eine Pseudozufallszahl, die mit in den Hash eingerechnet wird, verwendet wird. "Plain Hashing sucks," zeigte sich Bowes überzeugt und erklärte, die meisten Passwörter "normaler Länge" seien durch Bruteforce-Angriffe herauszubekommen, wenn kein Salt verwendet werde. Wird dagegen ein Salt verwendet, dauert das Berechnen des Hash-Wertes länger. Zudem erzeugt das selbe Passwort so verschiedene Hashes und muss daher mehrfach entschlüsselt werden. Dadurch steigt der Rechenaufwand merklich an. Auch die Verwendung sogenannter "Rainbow Tables" ist nicht möglich, wenn ein Salt verwendet wird. An den Salt zu kommen sei dagegen kein Problem, berichtete Bowes. Dieser werde meist ganz normal mit dem Passwort in der Datenbank abgelegt.
Eines der von Bowes analysierten Foren war das deutsche Carding-Forum "Carders.cc". Von diesem hat er nach eigenen Angaben die gesamte Datenbank vorliegen. Der Sicherheitsforscher verriet, unter den beliebtesten Passwörtern seien "hurensohn" und "13371337" gewesen. Die Qualität der Passwörter sei teilweise höher als auf anderen Seiten; sie würden teils äußerst lange brauchen, um die Passwörter durch Bruteforce zu entschlüsseln.
Die Verwendung von "Leetspeak" in Passwörtern stellt Bowes und seine Kollegen nach eigenen Angaben nicht mehr vor große Probleme. Mit den richtigen Wörterbuch- oder John-Regeln seien diese Passwörter selbst auf einem Mittelklasse-Laptop in überschaubarer Zeit zu entschlüsseln.
Bowes berichtete, mit einer guten Strategie sei es möglich, 97% der Passwörter einer durchschnittlichen Foren-Datenbank zu entschlüsseln. Dies könne allerdings teilweise erhebliche Zeit in Anspruch nehmen. Der Sicherheitsforscher hält daher das sogenannte "GPU Computing", also die Berechnung durch Grafikkarten, für äußerst interessant. Er sagte, er werde sich damit zukünftig näher befassen.
Für Foren- oder Website-Admins sei es durchaus sinnvoll, strenge Regeln zur Qualität der Passwörter festzulegen, sagte Bowes. Dies könne das Passwort-Knacken erheblich erschweren. Allerdings werde auch die Benutzerfreundlichkeit beeinträchtigt, weswegen teilweise darauf verzichtet wird.
Quelle : www.gulli.com
-
Die Veranstalter der IT-Sicherheitskonferenz DeepSec, die vom 23. bis 26. November in Wien stattfand, ziehen ein positives Fazit der Veranstaltung. Gleichzeitig stellen sie aber fest, dass es in vielen Unternehmen Nachholbedarf bei der IT-Sicherheit gibt, und fordern daher "proaktive statt reaktive IT-Sicherheit".
(http://static.gulli.com/media/2010/12/thumbs/370/deepsec-logo-neu.jpg)
René Pfeiffer, Organisator der DeepSec, ist zufrieden mit dem Verlauf der Konferenz. Über 160 Teilnehmer aus den Bereichen Network-Security und Hacking diskutierten mit 43 hochkarätigen Referenten über neue Spionagegefahren und geeignete Abwehrstrategien und tauschten sich in 33 Vorträgen und 4 mehrtägigen Workshops aus. "Die Veranstaltung war erneut ein voller Erfolg, viele spannende Erkenntnisse konnten vermittelt und erarbeitet werden", freut sich Pfeiffer und kündigt an: "Basierend auf dem guten Feedback von Teilnehmern und Referenten beginnen wir bereits die Planung der nächsten DeepSec-Sicherheitskonferenz 2011". Das Ziel der jährlichen internationalen Sicherheitskonferenz DeepSec ist es, "als neutrale Plattform den Gedanken- und Erfahrungsaustausch zwischen IT-/Security-Unternehmen, Hacker-Community, Behördenvertreter sowie Forschern zu fördern."
Weniger ermutigend sind jedoch einige der Ergebnisse, zu denen die Sicherheitsforscher im Rahmen der Konferenz kamen. Eines der Ergebnisse: Gerade beim Aspekt der IT-Sicherheit setzen viele deutsche Unternehmen nur auf Softwarelösungen. "Oftmals wird nur einmalig eine Lösung für die Sicherheit der Daten festgelegt und in der Folge stetig durch Updates geflickt", so der Sicherheitsexperte Pfeiffer. Dadurch lassen sich Angriffe jedoch nur zu einem Teil verhindern: "Es ist viel wichtiger, eine Aufmerksamkeit im Unternehmen für das Thema zu schaffen und eine proaktive Kontrolle der Sicherheit auf die Agenda zu bringen und nicht erst zu reagieren, wenn das sprichwörtliche Kind in den Brunnen gefallen ist", rät er. Auch auf der Konferenz selbst war das Thema "Security Awareness", also die Schulung der Mitarbeiter in Sicherheitsdingen, daher prominent vertreten.
In der Unternehmenswelt schult bisher nur rund ein Viertel der Betriebe seine Mitarbeiter in Sicherheitsthemen. "Dadurch herrscht in vielen Büros kein Problembewusstsein für potenzielle Risiken", meint Pfeiffer und bezieht sich dabei auf im Dezember veröffentlichte Zahlen des Statistischen Bundesamt in Wiesbaden. Nur wenige Mitarbeiter wissen, dass Telefonate keineswegs sicher sind und eine Virensoftware kein sicherer Schutz vor Angriffen und Schadsoftware ist. Ohne, dass Mitarbeiter verstehen und aufgezeigt bekommen, wie sie potenzielle Angriffe und Lücken erkennen können, kann kein Sicherheitskonzept effektiv funktionieren.
Auch weitere beunruhigende Zahlen brachte die von Pfeiffer zitierte Befragung zu Tage. Demnach haben nur 32 Prozent der deutschen Unternehmen ein formell festgelegtes Konzept für die IT-Sicherheit. IT-Sicherheitsregelungen, die bereits bei Unterzeichnung eines Arbeitsvertrages gelten, bestehen momentan nur bei rund 36 Prozent der deutschen Unternehmen. Lediglich 37 Prozent der Unternehmen informieren ihre Beschäftigten in freiwilligen Schulungen oder stellen die Sicherheitsrichtlinien im Intranet oder per Rundschreiben bereit. Hier sieht Pfeiffer in allen Punkten großen Nachholbedarf: "Die Zahlen und die Erkenntnisse der diesjährigen DeepSec belegen in beunruhigender Weise, das es bis zu einer proaktiven IT-Sicherheit noch ein weiter Weg ist, nicht nur in Deutschland, sondern auch auf internationalen Unternehmensebenen."
Ebenso wichtig wie sinnvolle Vorschriften ist es aber auch, den Mitarbeitern die Angst davor zu nehmen, sicherheitsrelevante Vorfälle zu melden. Auch ein gutes Sicherheitskonzept, so Pfeiffer, könne selbst auch bei aufgeklärten Mitarbeitern nur dann funktionieren, wenn Sicherheitsbedenken ohne negative Konsequenzen für den Betroffenen gemeldet werden können. "Mitarbeiter sind nicht nur gerne Angriffspunkte von Social Engineering-Spionageattacken, sie helfen möglichen Angreifern auch oft indirekt dadurch, dass sie potentielle Sicherheitsbedenken oder nicht melden", analysiert Pfeiffer. Der Grund: Aus Angst vor Schuldzuweisungen melden Mitarbeiter ein Problem nicht und nehmen auch Abstand davon, dies das nächste Mal zu tun. "Hier kommt erneut der menschliche Faktor hinzu", meint Pfeiffer. "Die Folgen können dann durch reine Angst erneut katastrophal sein. Unternehmen müssen daher längerfristig denken und Mitarbeiter ermutigen, ein Teil der Sicherheitsstrategie des Unternehmens zu werden und sich als solchen zu begreifen."
Quelle : www.gulli.com
-
Wie schnell sich mit geringem Aufwand zu einfache WPA-PSKs mit Amazons Service Elastic Compute Cloud (EC2) knacken lassen, will der Blogger Thomas Roth auf der kommenden "Black Hat"-Konferenz zeigen (http://stacksmashing.net/2011/01/12/upcoming-black-hat-talk/). Roth hatte bereits im November des vergangenen Jahres mit einem Angriff auf SHA-1-Hashes mit Hilfe von Amazons EC2 für Aufsehen gesorgt. Amazon hatte mit Einführung seiner "Cluster GPU Instances" im vergangenen November eine zusätzliche Option für schnelle Berechnungen angeboten. EC2 wurde zuvor bereits für das Knacken von Passwörtern benutzt.
Bei seinen neuen Tests will Roth das WPA-Passwort seines Nachbarn (mit dessen Einverständnis) per Wörterbuch-Attacke und einer 70 Millionen Wörtern umfassenden Liste in 20 Minuten geknackt haben. Dabei lief in der Cloud nur eine Instanz mit Roths selbstgeschriebenem Tool Cloud Cracking Suite (CCS). Sie erreichte rund 50.000 PSK/s.
Roth glaubt, mit einer optimierten Version seiner Software die Pre-Shared Keys (PSK) in sechs Minuten knacken zu können. Bei einem Minutenpreis von 0,28 US-Dollar pro Instanz käme man auf insgesamt 1,68 US-Dollar. Mehrere Instanzen in Amazons Cloud erhöhen zwar die Geschwindigkeit, letztlich bleibt aufgrund der linearen Skalierung der Preis der gleiche. Roth will mit seinen Tests nach eigenen Angaben Administratoren aufrütteln, die glauben, WPA sei unknackbar.
Roth will sein Tool demnächst veröffentlichen. Wer sich damit schwer tut, kann auch auf den Dienst WPA Cracker zurückgreifen. Für 17 US-Dollar setzen die Betreiber 400 Cloud-CPUs ein, um eine Wörterbuch-Attacke gegen den WPA-Schlüssel auszuführen. Grundlage ist eine Liste mit 135 Millionen Einträgen, wobei sich zusätzliche Optionen wie deutsche Wörterbücher und eine erweiterte englische Wörterliste (284 Millionen Einträge) dazubuchen lassen.
Bislang bleiben ein Wörterbuchangriff aber derzeit die alleinige praktische Methode, um WPA-Schlüssel zu knacken. Anders als bei WEP gibt es dort keine Implementierungsschwäche, mit der sich anhand gesammelter Daten ein Schlüssel zurückrechnen ließe. Daher gilt insbesondere für sichere WPA-Passwörter: Lang und komplex sollten sie sein – und in keiner Wörterliste stehen. Die vom WPA-Standard vorgegebene Mindestlänge von acht Zeichen ist auf jeden Fall zu kurz –zumindest, wenn man nur Teile des verfügbaren Keyspaces ausnutzt und etwa nur Kleinbuchstaben eingibt.
Grundsätzlich kann man sein Glück zwar auch mit Brute-Force-Angriffen versuchen. "Ein Brute-Force-Angriff ist bei den langen Passworter und entsprechender Komplexität nicht in vertretbarer Zeit zu schaffen, trotz der hohen Geschwindigkeit", schreibt Roth in einer Mail an heise Security.
Wie lange ein Tool zum Knacken von Passwörtern benötigen würde, lässt sich etwa mit dem Online-Passwortchecker (http://www.hammerofgod.com/passwordcheck.aspx) von Tomithy Mullen ermitteln. Das Tool berechnet die Dauer aus der dem Keyspache und der Anzahl Iterationen, die ein Brute-Force-Tool benötigen würde, um die richtige Kombination von Zeichen zu erreichen.
Quelle : www.heise.de
-
Wie lange ein Tool zum Knacken von Passwörtern benötigen würde, lässt sich etwa mit dem Online-Passwortchecker von Tomithy Mullen ermitteln.
Na klar.
Aber genau so ein Tool eignet sich auch trefflich, vorhandene Wörterbücher um viele wirklich verwendete Einträge zu erweitern.
Auch eine leichte Variation eines echten Passworts könnte schädlich sein, wenn anschliessend jemand daran Strukturen erkennt, die oft verwendet werden.
So ähnlich wie Vorname plus zweistelliges Geburtsjahr, bestimmt sehr häufig...
-
(http://static.gulli.com/media/2011/03/thumbs/370/IE-Safari-pwned.jpg)
Am ersten Tag des Hackerwettbewerb Pwn2Own gab es bereits zwei erfolgreiche Hacks im Bereich Webbrowser: Apple Safari und Microsoft Internet Explorer fielen beide den von den Teilnehmern vorbereiteten Exploits zum Opfer. Google Chrome dagegen hielt stand und verteidigte damit seinen Ruf als sicherster Browser beim Pwn2Own - zumindest für's Erste.
Die beiden erfolgreichen Wettbewerbsteilnehmer dürfen sich über jeweils 15.000 Dollar - umgerechnet knapp 11.000 Euro - Preisgeld freuen. Daneben darf der Sieger jeder Kategorie, wie der Name des Wettbewerbs andeutet, den betreffenden Laptop - im konkreten Fall einen Sony Vaio beziehungsweise ein MacBook Air - mitnehmen.
Um zu gewinnen muss ein Angreifer den voll gepatchten Rechner per Browser-Exploit komplett übernehmen. Dabei fielen Safari und IE. Bei Google Chrome dagegen - der die letzten Jahre komplett ungehackt blieb und ein höheres Preisgeld bringen würde - fand sich niemand, der es überhaupt versuchte. In den nächsten Tagen werden die Regeln für den Angriff allerdings lockerer - womöglich wird dann noch jemand den Chrome-Preis abräumen.
Chaouki Bekrar, der Sieger in der Kategorie Safari, erklärte, er habe zeigen wollen, dass jeder Browser und jedes Betriebssystem seine eigenen Schwachstellen habe. Dies gelang ihm eindrucksvoll; er zeigte einen sehr zuverlässig funktionierenden Exploit, der noch nicht einmal den Browser zum Absturz brachte und somit völlig unbemerkt vom Benutzer durchgeführt werden kannF. Dabei umging er auch den bei OSX ebenso wie bei Windows 7 eingebauten Sicherheitsmechanismus "Data Execution Prevention" (DEP) mit Hilfe spezieller Programmiertechniken. Bekrar erhielt durch seinen Angriff dieselben Privilegien wie der Nutzer des Webbrowsers - Admin-Zugriff ist damit auf einem korrekt konfigurierten System also nicht zu bekommen. Trotzdem bietet sich einiges an destruktivem Potential; so könnte ein böswilliger Angreifer beispielsweise auf sämtliche sensiblen Daten des Nutzers zugreifen. Allzu viele technische Einzelheiten darf Bekrar, ebenso wie die anderen Wettbewerbs-Teilnehmer, allerdings nicht nennen. Das verbieten die Contest-Regeln, denen zufolge den betroffenen Herstellern zunächst die Chance gegeben wird, die Lücken zu beheben, bevor Details dazu publiziert werden dürfen.
Bekrar erklärte, eine zusätzliche Herausforderung sei gewesen, dass er den Code für Mac OS komplett selbst habe schreiben müssen. Entsprechende Quellcode-Bausteine für Windows seien dagegen im Internet zu finden.
Frustriert zeigte sich der dreimalige Safari-Bezwinger Charlie Miller. Dieser war bei der Auslosung der Reihenfolge auf den letzten Platz unter den Angreifern gekommen und ging somit durch Bekrars Erfolg leer aus. Wie zuvor angekündigt behielt Miller seinen vorbereiteten Exploit somit für sich. "Ich habe einen Exploit komplett einsatzbereit und nun liegt er einfach in meiner Tasche herum. Man sollte denken, dass Apple das besorgt," sagte Miller. Seine Drohung, den Quellcode aus Protest gegen die Pwn2Own-Regeln kostenlos und für Alle frei zugänglich im Internet zu veröffentlichen, machte Miller allerdings nicht wahr.
Apple hatte kurz vor Beginn des Wettbewerbs - wahrscheinlich in einem Versuch, seinen Ruf zu wahren - ein großes Sicherheitsupdate veröffentlicht, das insgesamt 62 Lücken behob. Trotzdem hatte Bekrar einen Exploit zur Hand, den Apple noch nicht behoben hatte, und auch Miller sagte, dass sein Exploit noch immer funktioniert.
Eine ebenso schlechte Figur wie Safari machte auch der Internet Explorer. Steven Fewer, ein selbständiger IT-Sicherheitsberater, fand trotz neuer Sandbox-Technik eine Implementierungslücke im Internetexplorer und nutzte diese erfolgreich aus. Wie auch Bekrar nutzte er eine Schwachstelle im Speichermanagement des Browsers. "Die Möglichkeit, aus der Sandbox auszubrechen, war leicht zu finden. Überraschend leicht," berichtete Fewer. Insgesamt brauchte er sechs Wochen, um die Schwachstelle zu recherchieren und funktionierenden Code zu deren Ausnutzung zu schreiben.
Für Safari hatten sich vier Angreifer angemeldet, für IE drei. Bei Google Chrome - bei dem ein erfolgreicher Exploit zusätzlich zu den von Pwn2Own-Ausrichter Tipping Point ausgelobten 15.000 Dollar Preisgeld auch 20.000 Dollar von Hersteller Google bringen würde - meldete sich lediglich ein Teilnehmer an. Dieser tauchte niemals auf. Chrome bleibt also - wieder einmal - ungeschlagen. Womöglich liegt das unter Anderem daran, dass Google wie Apple kurz vor dem Wettbewerb noch ein Sicherheitsupdate veröffentlichte.
Der morgige zweite Wettbewerbstag wird eine Lockerung der Regeln für den Chrome-Exploit mit sich bringen. Das selbe würde für Safari und IE gelten; diese sind allerdings nach den erfolgreichen Angriffen nicht mehr im Rennen. Daneben werden morgen auch die Teilnehmer der Kategorie Mozilla Firefox versuchen, einen erfolgreichen Exploit zu platzieren.
Daneben wird sich der Wettbewerb am Freitag auch der Smartphone-Sicherheit widmen. Dabei sollen ein iPhone, ein Blackberry sowie ein Android- und ein Windows-Smartphone attackiert werden. Auch hier gibt es für den Sieger - neben dem betreffenden Smartphone - 15.000 Dollar Preisgeld. In jeder Kategorie fanden sich mehrere Teilnehmer.
George Hotz, bekannt für seine Hacks und Jailbreaks, sagte allerdings seine Teilnahme ab. Spekulationen zufolge ist er zu beschäftigt mit seinem Rechtsstreit mit Sony. Das Unternehmen hatte Hotz wegen der Veröffentlichung eines Hacks für die Spielekonsole PlayStation 3 verklagt.
Quelle : www.gulli.com
-
Beim zweiten Tag des Hackerwettbewerbs "Pwn2Own" ging es insbesondere um die Smartphone-Sicherheit. Dabei konnten das aktuelle iPhone und auch der BlackBerry erfolgreich gehackt werden. Dagegen wurden für Android und Windows Phone keine funktionierenden Exploits gezeigt. Sieger beim iPhone wurde der im Vorfeld stark in den Medien vertretene Charlie Miller im Team mit einem Kollegen.
Charlie Miller schaffte es, ein iPhone unter iOS 4.2.1 erfolgreich zu übernehmen, indem er mit Hilfe einer manipulierten Website eine Sicherheitslücke im Browser "Mobile Safari" ausnutzte. Das allerdings gelang dem Sicherheitsexperten, der sich mit seinem Kollegen Dion Blazakis zusammengetan hatte, erst im zweiten Versuch - beim ersten Mal brachte er lediglich den Webbrowser zum Absturz. Als Preis gab es 15.000 US-Dollar - umgerechnet knapp 11.000 Euro - sowie das iPhone. Miller war bereits 2007 und 2009 gegen das iPhone erfolgreich. Daneben konnte er zahlreiche Siege beim Angriff auf Apples Webbrowser Safari verbuchen.
Wie die meisten modernen Betriebssysteme verfügt auch iOS über den Sicherheitsmechanismus "Data Execution Prevention". Diesen musste Miller - wie auch die Sieger beim gestrigen Browser-Wettbewerb mit Hilfe der speziellen Programmiertechnik "Return-Oriented Programming" umgehen.
Miller erklärte, das auf dem neuen iOS 4.3 sein Exploit nicht mehr funktioniert, weil diese Version erstmals auch Adress Space Layout Randomization (ASLR) verwendet. Dadurch werden Daten an zufällige Stellen des Speichers geladen und das Ausnutzen von Overflow-Lücken erfordert zusätzliche Tricks. Die Sicherheitslücke selbst sei allerdings im Mobile Safari nach wie vor vorhanden, berichtete Miller. Es ist allerdings anzunehmen, dass Apple diese in absehbarer Zeit stopfen wird - die Gewinner-Exploits des Pwn2Own werden den betroffenen Firmen zur Verfügung gestellt, damit die Lücken behoben werden können.
Miller erklärte, die Sicherheitspolitik beim iPhone sei im Laufe der Jahre merklich besser geworden. Anfangs sei das Smartphone äußerst unsicher gewesen. Nach und nach seien ein besseres Rechtemanagement und zusätzliche Sicherheitsfeatures eingeführt worden.
Ebenfalls erfolgreich gehackt wurde ein BlackBerry Torch 9800. Der Angriff erforderte aufgrund der fehlenden Dokumentation und praktisch nicht vorhandenen Codebasis ein dreiköpfiges Team. Dieses bestand aus Vincenzo Iozzo, Willem Pinckaers und Ralf Philipp Weinmann.
Die Sicherheitsmaßnahmen des BlackBerry stuften die drei Hacker als eher schlecht ein. So fanden sie auch gleich mehrere Lücken, die sie für ihren Angriff nutzten. Zugriff erlangten sie schließlich durch eine Lücke im - wie Safari auf WebKit basierenden - Browser des Smartphones. Sie zeigten sogar, dass sie nicht nur - wie für den Wettbewerb gefordert - auf das Adressbuch des Smartphones zugreifen konnten, sondern schrieben auch eine Datei in das Filesystem des BlackBerrys.
Der für heute eigentlich geplante Firefox-Wettbewerb entfiel mangels Teilnehmern. Keiner der gemeldeten Kandidaten trat überhaupt an. Wahrscheinlich hängt dies mit dem von Mozilla kurz vor dem Wettbewerb veröffentlichten Patch zusammen - es ist anzunehmen, dass dieser genau die Lücken stopfte, die die Teilnehmer angreifen wollten, und diese daher mangels Erfolgschancen auf eine Teilnahme verzichteten. Das selbe war schon am Vortag dem einzigen gemeldeten Kandidaten für den Chrome-Wettbewerb passiert.
Quelle : www.gulli.com
-
Obwohl Chrome beim Wettbewerb nicht direkt angegriffen wurde, gibt es trotzdem ein Update für die Versionen für Windows, Linux und Mac OS X. Google hat darin die ursprünglich im Blackberry ausgenutzte Lücke in WebKit geschlossen – denn neben dem Blackberry-Browser beruhen auch Chrome und Safari auf WebKit.
Die Entdecker der Lücke Vincenzo Iozzo, Ralf Philipp Weinmann und Willem Pinckaers bekommen unabhängig vom Pwn2Own-Wettbewerb von Google im Rahmen des Bounty-Bug-Programms sogar noch mal eine Prämie von 1337 US-Dollar.
In BlackBerry, Safari, MobileSafari, Android und anderen auf WebKit beruhenden Produkten muss die Lücke indes erst noch geschlossen werden. BlackBerry plant ein Update, Apple hat allerdings gerade erst neue Versionen von Safari und iOS veröffentlicht, um die Sicherheitsprobleme in einigen seiner Produkten zu beseitigen.
Für Besitzer eines iPhone 3G wird dies aber offenbar ohnehin keine Rolle mehr spielen: iOS-Updates gibt es nur noch für das iPhone 4 und 3GS. Auf dem iPhone 3G bleiben die Lücken offen. Beschwerden in einem Apple-Forum über die fehlenden Unterstützung älterer Geräte hat Apple kurzerhand gelöscht. Angeblich hätten die Postings die Foren-Regeln verletzt. Unter Umständen bleibt Besitzern älterer Geräte nur die Flucht in Jailbreaks, um die Anwendungen mit Patches aus der Community sicher zu machen.
Microsoft arbeitet ebenfalls an einem Update, um die während des Wettbewerbs benutzte Lücke im Internet Explorer 8 zu beseitigen. Der Hersteller rät Anwendern jedoch, besser den in Kürze erscheinenden Internet Explorer 9 zu installieren. Darin soll die Lücke schon nicht mehr zu finden sein, darüber hinaus soll der Browser eine höhere Sicherheit bieten als die Vorgängerversion.
Quelle : www.heise.de
-
Die Pwnie Awards wollen eine Art Oscar-Verleihung der Security-Community sein. Dabei dreht sich alles um das Pwning – also das Übernehmen von Devices, Diensten und Daten durch das Ausnutzen von Sicherheitslücken. Im Rahmen der Sicherheitskonferenz BlackHat (30. Juli bis 2. August in Las Vegas) sollen wieder besonders spektakuläre Lücken und Exploits prämiert werden.
Die Nominierungen verteilen sich auf insgesamt acht Kategorien. Darunter finden sich klassische Kategorien für Sicherheitslücken wie die für Bugs in Servern oder auf Client-Seite und die oft etwas gering geschätzten Privilege Escalation Bugs. Daneben gibt es aber auch Pwnies für die schwächste Reaktion eines Herstellers ("Lamest Vendor Response") und die grandioseste Fehlleistung ("Most Epic FAIL"). Für die neunte, das Lebenswerk, gibt es offenbar keine Kandidaten.
Die Liste der Nomierungen ist eine durchaus interessante Lektüre. Angefangen von der ASP.NET-Lücke über das Knacken der Google Chrome Sandbox bis hin zum Blackberry Pwn2Own Exploit fand sich zwar vieles davon bereits auf heise Security und dürfte regelmäßigen Lesern deshalb bekannt sein. Aber die Zusammenstellung gibt einen guten Überblick über wichtige Security-Ereignisse des vergangenen Jahres und den aktuellen Stand der Angriffstechniken.
Die Gewinner werden von einer Jury mit namhaften Sicherheitsexperten gekürt. Zu ihnen gehört neben Mark Dowd, Dino Dai Zovi, HD Moore, Ralf-Philipp Weinmann und Alex Sotirov auch der Deutsche Thomas Dullien aka Halvar Flake. Nur der Gewinner in der Kategorie "Most Epic FAIL" steht bereits vorab fest. Zur Auswahl stehen nämlich Sony, Sony, Sony, Sony und – wer hätte es gedacht – Sony.
Quelle : www.heise.de
-
Die Hacker Mike Tassey und Richard Perkins wollen in der kommenden Woche auf der Black Hat Security Conference und DEFCON ihre selbstgebaute Drohne WASP vorstellen, die in der Lage ist, WiFi-Netzwerke zu knacken und die Kommunikation in GSM-Netzen abzuhören.
(http://www.pro-linux.de/images/NB3/imgdb/o_die-hacker-perkins-und-tassey-mit-der-drohne-wasp.jpg)
Tassey und Perkins bastelten ca. ein Jahr an der Wireless Aerial Surveillace Platform (WASP). Das unbemannte Fluggerät, eine ausgemusterte Drohne der US Army, wiegt ca. 5,2 kg und weist eine Länge und Spannweite von ca. 1,8 Meter auf. Tassey und Perkins ersetzten den Benzinmotor durch ein elektrisches Modell.
Mit der Drohne wollen Perkins, der für Cybersicherheit bei der Air Force verantwortlich ist, und der Air-Force-Berater Tassey zeigen, wie verwundbar Einrichtungen des öffentlichen Lebens sind. Laut den Hackern kann die Drohne nur schwer von Radarstationen erfasst werden, da sie Vögeln sehr ähnlich ist und so von vielen Radarsystemen ignoriert wird. So lässt sie sich auch einsetzen, um gut abgeschirmte und bewachte Ziele auszuspähen.
Im Bauch der Drohne steckt ein VIA EPIA Pico-ITX PC, auf dem BackTrack Linux läuft. Die Distribution verfügt über alle Werkzeuge, die zum Abhören und Knacken von WLAN-Netzen benötigt werden. Zudem kann sie als GSM-Funkzelle eingesetzt werden und die über sie geleitete Kommunikation auf einem 32 GB fassenden Datenträger protokollieren.
Die WASP ist mit einem GPS-Modul ausgestattet. Sie lässt sich manuell steuern oder mit Zielkoordinaten füttern, die sie dann automatisch anfliegt. Mit einer Akkuladung kann die Drohne 30 bis 45 Minuten in der Luft bleiben, und eine maximale Flughöhe von 22.000 Fuß (ca. 6700 Meter) erreichen. In einer Minute legt das Fluggerät etwas mehr als 1,6 km zurück. Die Flugzeugelektronik basiert auf dem Ardupilot, einem auf einem Arduino Mega basierendem Autopilotsystem. Eine HD-Kamera, die an der Drohne befestigt ist, kann zudem Bilder vom überflogenen Gebiet aufnehmen.
Quelle : www.pro-linux.de
-
(http://www.heise.de/imgs/18/6/9/6/2/0/5/c907ae1c2044252a.png)
Auf der Sicherheitskonferenz BlackHat in Las Vegas wurden mit den Pwnie Awards wieder traditionell die Oscars der Sicherheitsszene verliehen. Nicht jeder dürfte sich über den Preis freuen, denn neben den spektakulärsten Schwachstellen und Angriffen wurde unter anderem auch der Pwnie für den "Most Epic FAIL", das peinlichste Scheitern, verliehen.
Der Preis für die serverseitige Lücke ging an Juliano Rizzo und Thai Duong, die eine Schwachstelle in ASP.NET gefunden haben. Jailbreaker comex konnte mit seiner "Jailbreakme"-Lücke in FreeType den Pwnie für die clientseitige Lücke abräumen. Auf Basis dieser Lücke hat comex die Webseite Jailbreakme.com programmiert, über die man iOS-Gerät bis Version 4.3.3 auf Knopfdruck entsperren kann. Der Pwnie für den Privilege-Escalation-Bug (Rechtausweitung) ging an Tarjei Mandt, der über 40 Sicherheitslöcher im Windows-Kernel entdeckte.
Piotr Bania gewann mit seinem Paper "Securing the Kernel via Static Binary Rewriting and Program Shepherding" den Pwnie für die innovativste Forschungsarbeit. Den Pwnie für sein Lebenswerk erhielt der Hacker pipacs vom PaX Team, weil er den Linux-Sicherheitspatch PaX und die Schutzfunktion Address Space Layout Randomization (ASLR) erfunden hat sowie "last but not least einen MP3-Player und einen Tetris-Klon in SoftICE gepatcht hat."
Den Pwnie für die lahmste Herstellerreaktion hat RSA für den Umgang mit der Komprimittierung der SecurID-Tokens gewonnen. Stuxnet hat den Pwnie für "Epic 0wnage" eingeheimst. Der Wurm hatte es auf SCADA-Steuersysteme für Industrieanlagen abgesehen. Der Pwnie für den "Most Epic FAIL" ging an Sony, was wenig überrascht – gingen doch auch schon alle fünf Nominierungen an den Unterhaltungsriesen. Den besten Song steuerte dieses Mal der PS3-Hacker George Hotz aka geohot mit seinem Rapvideo The Light It Up Contest bei.
Die Jury bestand aus einer Reihe namhafter Sicherheitsexperten, darunter auch Mark Dowd, Dino Dai Zovi, HD Moore, Ralf-Philipp Weinmann, Alex Sotirov und Thomas Dullien aka Halvar Flake.
Quelle : www.heise.de
-
(http://static.gulli.com/media/2011/08/thumbs/370/gesichtserkennung.jpg)
Drei Forscher stellten am 4. August auf der Konferenz Black Hat USA vor, wie man ohne zusätzliche Software Personen mit hoher Wahrscheinlichkeit erkennen kann, von denen zumindest ein beschriftetes Foto im Web exisitert. Doch das ist nicht alles. Den Fotos können mit hoher Wahrscheinlichkeit auch die Kreditwürdigkeit, Interessen und andere Informationen zugeordnet werden ohne die Person zu kennen.
Alessandro Acquisti, Ralph Gross und Fred Stutzman stellten zu Beginn ihrer Präsentation klar, dass es die Gesichtserkennung von Computern bereits seit den 60er Jahren gibt. Im Vergleich zu Menschen erkennen diese die Personen zwar bis heute wesentlich schlechter, möglich es aber dennoch. Die entsprechende Software hat sich im Laufe der Jahre natürlich deutlich verbessert. Während die führende Software im Jahr 1997 noch eine Fehlerquote von 0,54 hatte, lag diese im Jahr 2006 nur noch bei 0,001. Im Sicherheitsbereich und Web 2.0 hat die automatische Gesichtserkennung mittlerweile eine große Rolle übernommen. Man denke nur an Facebook, wo Gesichtserkennung für die Identifizierung von Mitgliedern des sozialen Netzwerks eingesetzt wird. Das Thema wird immer wichtiger, zumal monatlich derzeit 2,5 Milliarden Fotos alleine von Facebook-Usern hochgeladen werden. Dazu kommen unzählige identifizierte Fotos bei anderen sozialen Netzwerken wie Xing, MeinVZ, LinkedIn, Google+ etc., die man für einen Abgleich der noch nicht erkannten Personen einsetzen kann. In Verbindung mit Cloud Computing kann die Identifikation sogar per Smartphone durchgeführt werden. Die drei Forscher warnen davor, dass man mit dieser Methode auch Fußgänger auf der Straße problemlos identifizieren und diesen alle im Internet verfügbaren Daten über die jeweilige Person zuordnen kann. Acquisti, Gross und Stutzman sprechen in diesem Zusammenhang von einer "Real ID Infrastuktur", die momentan völlig unreguliert ist.
Im ersten Versuch (online to online) verglich man anhand verschiedener Programme die zugeordneten Gesichter aus einem sozialen Netzwerk mit bislang noch nicht markierten Fotos. Um an das erkannte Gersicht des Facebook-Profils zu gelangen, loggte man sich nicht einmal selbst dort ein. Die API hat sich das Bild ganz ohne Login besorgt. Dazu wurden ein paar Gundinformationen abgegriffen, wie Geschlecht, Wohnort, Arbeitgeber, Hobbies etc.
(http://static.gulli.com/media/2011/08/thumbs/370/Gesichtserkennung2.jpg)
Das Profilbild wurd mithilfe von Cloud Computing und den bekannten Informationen mit Einhundert Millionen Bildern eines Dating-Portals verglichen. Alleine mit diesen Angaben war es möglich, eins von 10 Bildern auf Anhieb einem Namen zuzuordnen. Wer mehr als nur die Fotos einer einzigen Dating-Webseite einsetzt, wird ein weitaus besseres Ergebnis erzielen. Im zweiten Versuch (offline to online) verglich man öffentlich zugängliche Bilder von Facebook mit Fotos vom Campus. Mithilfe dieser Methode sollten die an zwei Tagen mit einer Webcam aufgenommenen Studenten erkannt werden. Die Aufgenommenen haben ein paar Fragen zu ihren Gewohnheiten bei Facebook beantwortet, während in der Cloud ihre Fotos mit allen Profilbildern von Facebook verglichen wurden. Die Teilnehmer sollten zudem die Bilder rauspicken, auf denen sie am besten getroffen und zu erkennen waren. Innerhalb von weniger als 3 Sekunden wurde fast eine von 3 Personen erkannt.
Im dritten Experiment gelang es, nicht nur den Namen herauszufinden. Die Forscher konnten so auch recht zuverlässig die Interessen der Fotografierten, die Sozialversicherungsnummer oder die Kreditwürdigkeit der Personen anhand der Daten im Internet einschätzen. In diesen Zeiten, wo die Online- und Offline-Profile und Daten miteinander verknüpft werden könnten, sei es an der Zeit, die Bedeutung der eigenen Privatsphäre zu überdenken und auch, ob sie weiterhin freiwillig die Fotos mit unzähligen Namen von Personen zu versehen. Mit dem Ende der Anonymität ändert sich automatisch auch das Verhalten aller Menschen, glauben die Forscher. Wenn man mit einem tragbaren Handy schon die Gesichter erkennen lassen und die Einschätzungen dazu erhalten kann, wird es spätestens gefährlich. Die Forscher schränken ein, dass die Rechtssprechung einer solchen Vorgehensweise widerspricht. Und auch die Analyse dauert sehr viel länger, sollte man nicht wissen, wo die fotografierte Person wohnt. Und auch müssten die zu identifizierenden Personen mit der Aufnahme einverstanden sein, weil nur Frontalbilder gut erkannt werden können. Dennoch ist diese Ausarbeitung als klare Warnung zu verstehen. Die Technik wird sich weiter verbessern, die Analyse wird schneller möglich sein und auch die Rechtsprechung hat sich nicht immer zu Gunsten der Bürgerinnen und Bürger entwickelt.
(http://static.gulli.com/media/2011/08/thumbs/370/gesichtserkennung3.jpg)
Dazu kommt, vielleicht in naher Zukunft bereits Aufnahmen von der Seite ausreichend, um jemanden sicher identifizieren zu können. Da es auf den Business-Portalen und sozialen Netzwerken aber bereits sehr viele zugeordnete Bilder gibt und Bilderkennungsfirmen mit sozialen Netzwerken kooperieren, um Milliarden Fotos einem Namen zuordnen zu können, sollte nach Aussage der Forscher nachdenklich stimmen. Auch sei es inakzeptabel, dass es immer normaler würde, wenn jedermann sich und andere auf Fotos markiert und den Namen dazu schreibt. Nach Ansicht der 3 Forscher sei es schon bald möglich, dass man auf den Suchmaschinen alle Fotos einer Person auffinden kann. Auch solche, die nicht manuell markiert wurden.
Das komplette PDF von Alessandro Acquisti, Ralph Gross und Fred Stutzman kann hier (http://www.heinz.cmu.edu/~acquisti/face-recognition-study-FAQ/acquisti-faces-BLACKHAT-draft.pdf) heruntergeladen werden.
Quelle : www.gulli.com
-
(http://static.gulli.com/media/2011/08/thumbs/370/defcon-kids.jpg)
Ein 10-jähriges Mädchen aus Kalifornien zeigte kürzlich auf der Hackerkonferenz DefCon 19 eine bisher unbekannte Schwachstelle bei Smartphones mit den Betriebssystemen iOS und Android. "Ich liebe Apps. Dort kann ich Zeit und Raum kontrollieren", schrieb sie auf ihrer Ankündigung. Ihr Bug verändert die Zeiteinstellung bei Spielen, weil ihr bei langatmigen Handygames schnell die Lust verloren geht.
Das Mädchen mit dem Pseudonym CyFi fand einen 0day-Bug heraus, der mittlerweile auch von Experten bestätigt wurde. Ihr wurde bei Games mit Tierfarmen langweilig, weil alles so ewig lange dauerte. Sie fragte sich, warum sie nicht einmal während des Ablaufs des Spiels die Zeitangaben ändern sollte. Wenn man die Uhr vorstellt, wächst das Korn schneller und das Game kommt endlich in Fahrt, dachte sie sich. Da die meisten Spiele mit dem Faktor Zeit arbeiten, konnte sie zahlreiche Abläufe beschleunigen.
Sie möchte bislang noch nicht bekannt geben, welche Games von der Sicherheitslücke betroffen sind. Die Hersteller sollen ihre Chance haben, die Lücke vorher zu schließen. Die Erkennung der Zeitmanipulation sei schon von manchen Firmen umgesetzt worden. Sie habe aber Möglichkeiten gefunden, dies zu umgehen. Schwieriger wird es bei einer aktiven Verbindung ins Internet per Wi-Fi, weil dann die Zeit aus dem Internet mit der des Smartphones verglichen werden kann. Die Mutter des Mädchens erzählte einem Journalisten von CNET, eine Firma würde dem Jugendlichen 100 US-Dollar zahlen, der innerhalb von 24 Stunden die meisten anfälligen Spiele herausfinden würde.
Für CyFi war ein solcher Auftritt nichts Neues. Sie ist Teil einer Künstlergruppe und hat bereits im Museum für moderne Kunst in San Francisco vor 1.000 Personen gesprochen, um ihre dort ausgestellten Werke zu erläutern. Der Vortrag auf der Konferenz fiel ihr aber deutlich schwerer, obwohl nur rund 100 Personen anwesend waren. Sie konnte sich einfach nicht vorstellen, dass es so viele Menschen gibt, die sich wie sie für ein so spezielles Thema interessieren könnten. Der echte Name der jungen Haeckse bleibt vorerst geheim, die Mutter bittet um den Schutz ihrer Identität.
Sie sprach auf der DefCon Kids, einem Bereich der Veranstaltung, der für minderjährige Hacker und Haecksen reserviert ist. Ohne die Begleitung ihrer Väter, Mütter oder sonstigen erziehungsberechtigten Personen dürfen sie sich dort aber nicht aufhalten.
Quelle : www.gulli.com
-
(http://static.gulli.com/media/2011/08/thumbs/370/aaron-anon-unmasked-thumb-640xauto-20141.jpg)
Mehrere Sprecher eines Seminars auf der Hackerkonferenz DefCon haben den Aktivisten von Anonymous und LulzSec ins Gewissen geredet. Bisher wurden Firmen und Behörden nach dem Gießkannenprinzip attackiert. Ihre Angriffe sollten künftig gezielter und intelligenter durchgeführt werden. Ein Blogger war sogar der Meinung, den Teilnehmern ginge es bei ihren Aktionen nur darum, etwas kaputt zu machen.
Wir haben die Möglichkeit nicht nur Chaos, sondern organisiertes Chaos zu produzieren, so einer der Diskussionsteilnehmer und IT-Spezialist Josh Corman in Las Vegas. Die Unternehmen oder Behörden mit DDoS- und SQL-Angriffen zuzuschütten kommt eher einem Eigentor denn einem Erfolg gleich. Derartige Aufgaben könne man weitaus gezielter und effektiver durchführen. Corman findet, anstatt sich mit Angriffen gegen PayPal, MasterCard, Sony oder PBS zu wenden, sollten die beiden losen Gruppen lieber Jagd auf Kinderpornografie im Netz machen. „Das wäre etwas, wo jeder dahinter stehen kann“ Corman ist sichtlich um den Ruf der Internetkollektive besorgt.
Ein anderer Sprecher sagte, die Aktivisten sollten sich lieber darauf konzentrieren, bestechliche Regierungen mit Hacks zu überführen und die Beweise für deren Korruption zu veröffentlichen. Das Collateral Murder Video von Wikileaks sei ein gutes Beispiel für einen derartigen Beweis. „Wenn ihr so etwas findet, habt ihr den richtigen Dreck erwischt“, so der Blogger Krypt3ia, der auf der Veranstaltung für Aaron Barr eingesprungen war. Viele Sicherheitsfachleute hätten seit dem Hack von HBGary Angst, sich öffentlich in Reden gegen Anonymous oder LulzSec zu wenden. Blogger Krypt3ia beschuldigte die Gruppen, sie hätten keine richtigen Ziele vor Augen. Ihnen ginge es vor allem darum, etwas kaputt zu machen. Da jeder behaupten kann, er sei ein Mitglied der beiden Guppierungen, könnten Geheimdienstmitarbeiter problemlos ihre Aktionen unter dem Deckmantel der Aktivisten durchführen.
IT-Spezialist Jericho von Attrition.org fordert die Mitglieder auf, ein besseres Anonymous aufzubauen, wo keine Kollateralschäden mehr entstehen und es sogar einen positiven Effekt auf die IT-Security gäbe. Anonymous und LulzSec könnten Firmen hacken, die man zuvor mehrfach vor ihrer schwach abgesicherten Infrastruktur gewarnt hat. Wenn Warnungen nicht helfen, vielleicht die Vorstellung eine Horde von jungen Hackern könnte in ihrem System einbrechen und jede Menge Unheil anstellen. Das wäre eine gute "Motivation", um Firmen zum Schließen von Bugs zu bewegen, so Jericho. Er empfiehlt auch lieber Firmen anzugreifen, die Personen wie George Hotz juristisch verfolgen, weil sie die technischen Beschränkungen eines Geräts aufheben wollen. Man wird sehen, ob man die Ratschläge im Kollektiv beherzigen wird.
Quelle : www.gulli.com
-
(http://static.gulli.com/media/2011/10/thumbs/370/deepsec-logo-neu.jpg)
Vom 15. bis zum 18. November wird in Wien wieder die IT-Sicherheitskonferenz DeepSec stattfinden. Schwerpunktthema der Konferenz, die sich auf die Fahnen schreibt, Experten aus den verschiedensten Bereichen zusammen zu bringen, ist dieses Jahr die Sicherheit mobiler Geräte.
Die DeepSec hat sich das Ziel gesetzt, Experten aus der Regierung, privaten Unternehmen, dem akademischen Umfeld und dem Untergrund zusammen zu bringen und ihnen einen Austausch zu ermöglichen. Dabei gibt es Workshops zu wichtigen Themen sowie eine Reihe von Fach-Vorträgen der anwesenden Experten.
Nachdem man sich im vergangenen Jahr vor allem mit der Cyberwar-Problematik befasste, steht in diesem Jahr die Sicherheit mobiler Geräte im Mittelpunkt. Dabei soll es nicht nur um Smartphones und Tablets gehen, sondern beispielsweise auch um IT-Systeme in Kraftfahrzeugen. "In sieben Workshops und 34 Vorträgen präsentieren wir spannende Themen, die einen Großteil der Menschen direkt oder indirekt betreffen - die Anfälligkeit moderner Automobile gegen Datenangriffe ist so ein Fall", erklärt René Pfeiffer, Sicherheitsexperte und Organisator der DeepSec. Heutige Autos enthalten eine Vielzahl von Computer-Systemen. Diese sind, wie die Mitglieder der Forschergruppe Autosec.org kürzlich herausfanden, durchaus für Angriffe empfindlich. Den Hackern gelang es in Versuchen sogar, ein "Botnet" aus per IRC ferngesteuerten Autos aufzubauen.
Neben diesem Hauptthema werden aber auch zu anderen Themen Veranstaltungen angeboten. Weitere Themenbereiche der DeepSec sind: Verschlüsslungstechniken moderner Terroristen nach 9/11, Angriffe auf GSM-Mobilfunk-Kommunikation, Sicherheitsrisiken beim Internet Protocol Version 6 (IPv6), Code Review, digitale Spionage, digitale Forensik, Incident Response, Malware Research, sichere Kommunikation, Netzwerkprotokolle, Betriebssysteme, Patch & Upgrade Management, Secure Software Development, Security Management, Social Engineering, VoIP Technology, Web Application Security und Mobilfunktechnologien.
Quelle : www.gulli.com
-
Im Rahmen zweier auf der Sicherheitskonferenz CanSecWest ausgetragener Hacking-Wettbewerbe gelang es gleich zwei Teilnehmern, die aktuelle Version von Google Chrome zu kompromittieren. Den Anfang machte am gestrigen Mittwoch der Sicherheitsforscher Sergey Glazunov, der mit seinem Zero-Day-Exploit erfolgreich die Sandbox der aktuellen Chrome-Version unter Windows 7 umgehen konnte.
Glazunov nimmt an Googles Pwnium-Wettbewerb teil, der in diesem Jahr erstmals ausgetragen wird. Er hat sich mit seinem Exploit den Höchstbetrag von 60.000 US-Dollar aus dem Gesamttopf von einer Million US-Dollar gesichert. Google kündigte an, die Lücke in Kürze über die Auto-Update-Funktion des Browsers schließen zu wollen.
Kurze Zeit später gelang es auch dem Team der Sicherheitsfirma Vupen, den Chrome-Browser durch eine bislang unbekannte Schwachstelle zu kompromittieren. Vupen nimmt am Pwn2Own-Wettbewerb teil, der in diesem Jahr erstmals in mehreren Etappen ausgetragen wird. Ging man zuvor bereits als Sieger vom Platz, wenn man als erster Teilnehmer einen Exploit für ein bestimmtes Ziel entwickelt hatte, muss man nun noch in anderen Etappen bestehen, etwa der Entwicklung eines eigenen Exploits für eine bereits bekannte Schwachstelle.
Zumindest am gestrigen Mittwoch stand Vupen gänzlich ohne Herausforderer da – es lässt sich nur spekulieren, ob dies den Regeländerungen oder der Teilnahme Vupens geschuldet ist. Das Unternehmen, das sein Geld unter anderem mit dem Finden und Handeln von Schwachstellen verdient, kündigte vorab über Twitter an, mit Zero-Day-Exploits für alle bekannten Desktop-Browser ins Rennen zu ziehen.
Da man sich für Pwn2Own durch die Regeländerung nicht mehr vorab anmelden muss, ist es jedoch möglich, dass sich dem Wettbewerb im Laufe der nächsten Tagen noch weitere Teams anschließen.
Quelle : www.heise.de
-
Auf dem Hacking-Wettbewerb Pwn2Own, der derzeit auf der Sicherheitskonferenz CanSecWest in Vancouver ausgetragen wird, gelang es dem Vupen-Team nun auch, die aktuelle Version des Internet Explorer zu kompromittieren. Am gestrigen Donnerstag hatte das Team bereits ein System durch bislang unbekannte (Zero Day) Lücken in Google Chrome übernommen.
Der Einbruch in den Internet Explorer 9 gelang Vupen auf einem vollständig gepatchten Windows-7-System durch die Kombination zweier Zero-Day-Lücken: Zunächst hat der Exploit einen Puffer-Überlauf auf dem Heap provoziert und dann auch noch die mit Windows Vista eingeführten Schutzfunktionen Datenausführungsverhinderung (DEP) sowie Speicherverwürfelung (ASLR) ausgetrickst. Anschließend gelang es durch einen Speicherfehler, aus der Sandbox (Protected Mode) des Web-Browsers auszubrechen. Das Opfer müsste lediglich eine speziell präparierte Webseite besuchen, um sich etwa mit Spionage-Software zu infizieren.
Laut Vupen funktioniert der Exploit bei allen Internet-Explorer-Versionen seit Version 6 – einschließlich der Beta des IE 10 unter Windows 8 (Consumer Preview). Vupen hatte vorab nach eigenen Angaben zwei Sicherheitsforscher sechs Wochen in Vollzeit an dem Exploit arbeiten lassen. Für Vupen ist der Wettbewerb eine willkommene Werbeveranstaltung – verdient das Unternehmen sein Geld doch unter anderem mit dem Verkauf von selbst entdeckten Sicherheitslücken an Behörden.
Da überrascht es auch nicht, dass Vupen lediglich die Details über den Heap-Überlauf verraten und den Speicherfehler zur Überlistung des Protected Mode seiner zahlenden Kundschaft vorbehalten will. Ein Verstoß gegen die Wettbewerbsbedinungen ist dies nicht: Es genügt, den Browser zum Absturz zu bringen. Vupen hatte zuvor bereits bei Twitter damit geprahlt, mit Zero-Day-Exploits für Internet Explorer, Chrome, Firefox und Safari ins Rennen zu ziehen.
Quelle : www.heise.de
-
Nach Google Chrome und Microsofts Internet Explorer haben sich die Teilnehmer des Hackerwettbewerbs Pwn2Own auf der Sicherheitskonferenz CanSecWest auch den Firefox vorgenommen. Vincenzo Iozzo und Willem Pinckaers konnten dem Mozilla-Browser über eine bislang unbekannte Sicherheitslücke – einen Zero-Day-Exploit – Schadcode unterschieben und gewannen damit den mit 30.000 US-Dollar dotierten zweiten Preis des Wettbewerbs. Der erste Preis und damit 60.000 Dollar gingen an das Team der Sicherheitsfirma Vupen für das Knacken von Chrome und IE.
Pinckaers und Iozzo nahmen sich Firefox in der aktuellen stabilen Version 10.0.2 unter Windows 7 SP 1 vor. Wie ZDNet berichtet, nutzten die beiden eine "Use-after-free"-Schwachstelle aus, bei der auf einen bereits freigegebenen Speicherbereich zugegriffen wird,und hebelten die die Schutzfunktionen Datenausführungsverhinderung (Data Execution Prevention, DEP) sowie Speicherverwürfelung (Address Space Layout Randomization, ASLR) aus.
Quelle : www.heise.de
-
Auf der nächste Woche stattfindenden Hackerkonferenz DEFCON wollen amerikanische Forscher eine Studie vorstellen, die zeigt, wie sich Persönlichkeitsprofile aus Twitter-Meldungen erstellen lassen. Das könnte auch die Ermittlungsbehörden interessieren.
Narzisstisch, sozial inkompetent oder ein Psychopath - über Twitter kann man es herausfinden, zumindest wenn es nach den an der Studie beteiligten Forschern geht. Der Algorithmus untersucht Tweets auf bestimmte Schlüsselwörter, die auf emotionale Stimmung schließen lassen, darunter fallen Schimpfwörter, Beleidigungen oder Füllwörter. Auch Begriffe wie "Hass" werden von dem Algorithmus erfasst und zur Auswertung herangezogen.
Eigentliches Ziel der Studie war es, eine andere Studie zu widerlegen. Damals wurden Texte von Psychopathen auf bestimmte Muster untersucht.
Chris Summer, einer der an der Studie Beteiligten, erklärte zu dem Nutzen der Software: "Das FBI könnte so mögliche Missetäter markieren, aber ich glaube, dass unsere Ergebnisse eher von Interesse für Psychologen und deren Verständnis von großen Gemeinschaften sein dürfte." Doch es dürfe nicht auszuschließen sein, dass eben diese Software Strafverfolgungsbehörden bei der Überwachung und Klassifizierung von Menschen helfen könnte. Quasi ohne Aufwand könnten die Behörden das Netz filtern und sich bestimmte Personengruppen aussuchen, bei denen die Software Alarm schlägt. Doch Chris Summer ist kritisch, was diesen Verwendungszweck angeht: "Nur weil jemand einen hohen Wert auf einer Skala hat, heißt das noch lange nicht, dass dieser kriminell ist. Aber dennoch sind die Ergebnisse interessant, denn nun kann man eine große Gruppe von Menschen analysieren und herausfinden, ob wir tatsächlich unsozialer werden." Eine wirlich wirksame Gegenwehr gegen eine solch mögliche Fandungsmethode gibt es aber nicht, außer "Schützen Sie ihre Tweets und verstecken Sie sie."
Quelle : www.gulli.com
-
Mit der Ankündigung, erstmals an der Hackerkonferenz Black Hat teilzunehmen, weckte Apple im Vorfeld große Erwartungen. Wer sich jedoch auf einen offenen Dialog mit dem sonst so verschlossenen Unternehmen gefreut hat, erlebte eine herbe Enttäuschung.
Für manche Menschen gehört Zeit zum Wertvollsten, was sie zur Verfügung haben. Und genau diesen Schatz hat Apple einem Raum voller IT-Sicherheitsexperten geklaut: Den ersten Auftritts des Konzerns überhaupt während der IT-Sicherheitskonferenz Black Hat in Las Vegas verwendete Dalles De Atley, verantwortlich für die Sicherheit des Smartphone- und Table-Betriebssystems iOS darauf, den Inhalt eines vor einiger Zeit veröffentlichten Whitepapers detailgetreu vorzutragen – und kein Wort mehr.
Der ganze Artikel (http://www.heise.de/security/artikel/Apple-veraeppelt-Black-Hat-Teilnehmer-1654602.html)
Quelle : www.heise.de
-
Der von HPs Zero Day Initiative (ZDI) veranstaltete Hackerwettbewerb Pwn2Own 2013 ist sehr erfolgreich gestartet – zumindest für die teilnehmenden Hacker. Bis Donnerstagnachmittag war bereits so ziemlich alles geknackt, was Rang und Namen hat: Chrome, Firefox, der Internet Explorer 10 unter Windows 8, der Adobe Reader 11 und – wenig überraschend – gleich vier mal Java. Einige der entdeckten Schwachstellen wurden bereits geschlossen. Der dreitägige Wettbewerb wird noch bis einschließlich am heutigen Freitag auf der Sicherheitskonferenz CanSecWest in Vancouver, British Columbia ausgetragen.
Die höchstmögliche Prämie von 100.000 US-Dollar haben zwei Teams kassiert: Zum Einen Vupen für das Knacken der aktuellen Internet-Explorer-Version 10 auf einem vollständig gepatchten Surface-Pro-Tablet mit Windows 8. Vupen erklärte via Twitter, dass hierzu zwei zuvor unbekannte Internet-Explorer-Lücken (Zero Day) nötig waren. Beim Aufruf einer speziell präparierten Webseite wurde Code auf dem Testsystem ausgeführt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Chrome-Firefox-IE-10-Adobe-Reader-und-Java-auf-Pwn2Own-Wettbewerb-gehackt-1818962.html)
Quelle : www.heise.de
-
Nach einem Posting auf der offiziellen Google-Plus-Seite für den Chrome-Browser hat Google den diesjährigen Pwnium-Wettbewerb beendet, bei dem es darum ging, Sicherheitslücken in Googles Betriebssystem Chrome OS zu finden. Den Hackern winkten je 110.000 oder 150.000 Dollar, wenn sie es geschafft hätten, sich über eine manipulierte Webseite Zugriff auf einen Computer Chrome OS zu verschaffen. Insgesamt waren bis zu 3,14159 Mio US-Dollar (2,3 Millionen Euro) ausgelobt, eine Anspielung der Mathe-Fans bei Google auf die Kreiszahl Pi. Allerdings hat offensichtlich kein Hacker es geschafft, Chrome OS vollständig zu knacken. Google überprüfe dem Posting zufolge einige Einreichungen daraufhin, ob sie Teil-Exploits darstellen.
Der Zeitpunkt der Veranstaltung, der gestrige Donnerstag, war übrigens geschickt gewählt: Der Chrome-Browser, das Herzstück von Chrome OS, wurde bereits Mittwoch im Rahmen des Pwn2Own-Wettbewerbs auf Sicherheitslücken abgeklopft (Preisgeld dort: 100.000 US-Dollar) – und geknackt worden. Die auf der Schwesterveranstaltung Pwn2Own präsentierten Lücken hatte Google dann schon vor Pwnium geschlossen.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/9/9/6/8/5/9/2126b16b4d66d80a.jpeg)
Die Präsentation der Sicherheitsprobleme
lief unter einem provokanten Titel.
Bild: Uli Ries
Der russische Sicherheitsexperte Nikita Tarakanov hat im Rahmen der gerade stattfindenden Hackerkonferenz Black Hat Europe die Resultate seiner Analyse der Treiber-Software präsentiert, die Huawei mit seinen UMTS-Sticks ausliefert. Er attestiert den diversen Komponenten – Treiber, Konfigurationssoftware, Update-Mechanismus – durch die Bank weg miese Qualität.
Als riesiges Einfallstor für Angreifer identifizierte Tarakanov den zentralen Update-Server: Die Huawei-Software installiert auf jedem Rechner eine Komponente zum automatischen Update der Anwendungen und Treiber. Alle 15 Minuten kontaktiere der betreffende Service einen Server in den Niederlanden und fragt dort nach Updates. Dem Hacker zufolge läuft der Webserver noch auf Microsofts angestaubter Version 6.0 des Internet Information Server (IIS), der in Windows Server 2003 integriert ist. "Wer diese Maschine hackt, kann Millionen von Rechnern auf der ganzen Welt mit Schadsoftware infizieren", sagte Tarakanov.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/UMTS-Sticks-von-Huawei-gefaehrden-Sicherheit-der-Nutzer-1823629.html)
Quelle: www.heise.de
-
In einem Blog-Eintrag auf der Konferenzwebsite bittet Defcon-Gründer Jeff Moss (aka The Dark Tangent) darum, dass sich keine Bundespolizisten unter die Teilnehmer der Anfang August stattfindenden Defcon mischen. Die jüngsten Erkenntnisse rund um die umfangreichen Spähprogramme der US-Regierung machten es vielen Hackern schwer, unbefangen mit den Gesetzeshütern umgehen zu können. Von daher bittet Moss die FBI-Agenten – umgangssprachlich "Feds" genannt, um eine Auszeit. "Das gibt allen die Zeit, darüber nachzudenken, wie es so weit kommen konnte und was als nächstes folgt", so Moss.
Der Wunsch von Moss ist insofern ungewöhnlich, als dass FBI-Vertreter jahrelang geduldet, wenn auch argwöhnisch beäugt wurden. Die Hassliebe ging soweit, dass es den Wettbewerb Spot the Fed (Finde den FBI-Agenten) gab: Defcon-Besucher, die einen der Behördenvertreter ausfindig machen und den Entdeckten zu einem Auftritt auf offener Bühne überreden konnten, bekamen eine Trophäe. In aller Regel Gegenstände aus Beständen der Bundespolizisten: Tassen, T-Shirts, Mauspads mit dem offiziellen FBI-Emblem.
Außerdem sind US-Verteidigungsministerium und die jetzt im Kreuzfeuer stehende NSA schon seit Jahren mit Ständen auf der Defcon vertreten, um talentierten Hackern Jobs anzubieten. Im vergangenen Jahr hielt der NSA-Boss General Keith Alexander sogar einen viel diskutierten Vortrag am ersten Tag der Defcon.
Die Defcon findet vom 1. bis zum 4. August dieses Jahres im Rio Hotel & Casino Las Vegas, Nevada statt.
Quelle : www.heise.de
-
Ein Sicherheitsforscher hat eine Schwäche in TLS (Transport Layer Security) ausgemacht, die durch die standardisierte TLS-Erweiterung für Session Tickets hervorgerufen wird. Gelangt ein Angreifer an den Speicherinhalt des Webservers, kann er alle mitgeschnittenen Verbindungen auch im Nachhinein entschlüsseln.
Florent Daignière hat sich eingehend mit der in RFC5077 definierten TLS-Extension befasst, die den Einsatz von Session Tickets vorsieht. Diese Tickets werden beim Verbindungsaufbau einmalig vom Server erzeugt und dann vom Client gespeichert. Bei einer folgenden Verbindung entfällt damit der Handshake zwischen Client und Server, da der Client nur noch das gespeicherte Ticket übermitteln muss. Dies senkt die CPU-Last des Webservers, was insbesondere bei stark ausgelasteten Maschinen, die viele Clients gleichzeitig versorgen müssen, ein Vorteil ist.
Das Problem tritt Daignière zu Folge auch auf, wenn Verfahren mit Perfect Foward Secrecy zum Einsatz kommen. Wie im Rahmen seiner Black-Hat-Präsentation ausführt, bleiben die Tickets vergleichsweise lange gültig. Im Fall einer Standard-Installation von OpenSSL beispielsweise, bis der Prozess auf dem Server neu gestartet wird. Im Fall neuerer Apache-Versionen obliegt es dem Anwender, einen sinnvollen Wert festzulegen.
In der Praxis bedeutet dies, dass ein Angreifer im Fall von OpenSSL sehr lange Zeit hat, um sich den Speicherinhalt anzueignen. Bekommt er diesen in seine Fänge, kann er aus dem im Speicher liegenden Schlüsselmaterial relativ leicht den jeweiligen Master Key erzeugen, mit dem sich die einzelnen, zuvor mitgeschnittenen und per TLS gesicherten Verbindungen nachträglich entschlüsseln lassen. Florent Daignière hat zum Extrahieren des Keys ein kleines Tool programmiert, das den Speicherdump durchsucht und die relevanten Daten automatisch herausfiltert. Er will es in Kürze veröffentlichen.
Wie ein Angreifer an den Speicherinhalt des Servers gelangt, führte Florent Daignière nicht genauer aus. Er verwies lediglich auf Memory-Disclosure-Bugs, die sich regelmäßig in weit verbreiteten Anwendungen und auch OpenSSL fänden.
Quelle : www.heise.de
-
Nach der Anklage von fünf mutmaßlichen chinesischen Hackern will die US-Regierung nun angeblich chinesischen Bürgern die Einreise verweigern. So sollen Chinesen von den Hacker-Konferenzen Black Hat und Defcon in Las Vegas ferngehalten werden.
Die US-Regierung will angeblich verhindern, dass Personen mit chinesischem Pass in die USA einreisen, um die Sicherheitskonferenzen Defcon und Black Hat zu besuchen. Man wolle zu diesem Zweck Visa-Anträge von entsprechenden Personen ablehnen, berichtet das Nachrichtenportal Ars Technica mit Berufung auf ungenannte Regierungsquellen, die sich gegenüber Reuters entsprechend geäußert hätten.
Amerikanische Behörden hatten vergangene Woche fünf mutmaßliche Hacker des chinesischen Militäts angeklagt. Die chinesische Regierung weist die Vorwürfe zurück und hatte den US-Botschafter in Peking einbestellt, um die Rücknahme der Anklage zu fordern. Als Reaktion jetzt chinesische Besucher der Hacker-Konferenzen fernhalten zu wollen, sei ein rein symbolischer Akt, so die Organisatoren der Defcon und der Schwesterkonferenz Black Hat. Die Vorträge würden in der Regel aufgezeichnet und nach den Konferenzen im Netz verteilt, erklärte Black-Hat-Organisator Chris Wysopal.
Laut den Konferenzveranstaltern besitzen mehrere Redner auf der diesjährigen Black-Hat-Konferenz einen chinesischen Pass. Dagegen sei keiner der Defcon-Redner Chinese. Beide Konferenzen finden in diesem Jahr kurz nacheinander Anfang August statt.
Quelle : www.heise.de
-
Bitcoin-Schürfer nutzen sogenannte Mining-Pools, um ihre Schürfleistung zu bündeln und ihre Erträge zu verbessern. Ein Angreifer hat jetzt einen Weg gefunden, das erwirtschaftete Kryptogeld über Hardware eines Internet Service Providers direkt in die eigene Tasche zu leiten.
in Angreifer hat massenweise Kryptomünzen-Schürfer betrogen, in dem er deren Schürf-Erträge auf dem Weg zum Mining-Pool in seine eigene Tasche umgeleitet hat. Damit soll er 84.000 US-Dollar in Bitcoins verdient haben. Außerdem hijackte er die Erträge von Schürfern anderer Kryptowährungen wie Dogecoin, WorldCoin und HoboNickel.
Dem Angreifer gelang dies, in dem er sich in die Systeme eines kanadischen Internet Service Providers (ISP) einhackte und die Einstellungen des Border Gateway Protocol (BGP) eines Routers änderte. Bei dem Angreifer soll es sich eventuell um einen Mitarbeiter oder früheren Mitarbeiter des Service Providers gehandelt haben.
Gefunden haben den Angriff Forscher von Dell SecureWorks nachdem ein Teil ihrer eigenen Schürf-Erträge abgeleitet worden war. Gegenüber der britischen Zeitung The Guardian erklärte einer der Forscher den Angriff am Rande der Konferenz Black Hat 2014, die heute in Las Vegas zu Ende geht, wollte aber den Namen des ISPs nicht nennen.
Der Angriff hätte sich laut den SecureWorks-Forschern verhindern lassen, in dem der Mining-Pool die Verbindung zu den Schürfern mit SSL gesichert hätte. Die Forscher nannten den Angriff bewundernd "eine großartige Idee", zumindest aus technischer Sicht, und merkten noch an, dass der Angreifer wohl gezielt nach Schürfern mit kraftvoller Hardware gesucht hatte, um mehr zu erwirtschaften.
Quelle : www.heise.de
-
Knapp drei viertel aller gängigen mobilen Terminals zum Auslesen von Kreditkarten basieren auf der selben Hard- und Software. Forscher haben demonstriert, wie sie die Geräte unter Kontrolle bringen und so dem Kartenmissbrauch Tür und Tor öffnen.
Der Sicherheitsexperte Jon Butler und ein Kollege, der einfach unter dem Vornamen Nils auftritt, haben schwerwiegende Lücken im mobilen Kassensystem Miura Shuttle entdeckt und ihre Erkenntnisse auf der Sicherheitskonferenz Black Hat 2014 vorgestellt. Die mobile POS (Point of Sale)-Hardware dient den Forschern zufolge als Grundlage für zahlreiche weitere mPOS-Produkte anderer Anbieter – darunter wahrscheinlich auch des Platzhirsches PayPal – und kommt somit auf einen Marktanteil von geschätzt 75 Prozent. Welche dieser Hersteller noch von den aufgespürten Schwachstellen betroffen sind, wollten Butler und Nils nicht sagen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Black-Hat-2014-75-Prozent-aller-mobilen-Kassensysteme-verwundbar-2289003.html)
Quelle : www.heise.de
-
Jedes Jahr werden auf der Black-Hat-Konferenz mit einer glamourösen Zeremonie die Pwnie Awards verliehen. Dieses Jahr ging der Security-Oscar unter anderem an Heartbleed, Apple, den Hacker Geohot und Mt.Gox-Chef Mark Karpeles.
Die Pwnie Awards, die Oscars der Security-Gemeinde, prämieren sowohl die coolsten Hacks als auch die heftigsten Fehler des Jahres. Gewonnen haben dieses Jahr unter anderem Heartbleed, AVG, Apple mit dem GotoFail-Bug und Mt.Gox-Chef Mark Karpeles. Die offizielle Bestätigung der Gewinner durch die Organisatoren der Pwnies lässt allerdings weiterhin auf sich warten, da diese nach eigenen Angaben noch nicht nüchtern sind. Dazu muss man wissen, dass auf die Siegerehrung eine Party folgt, die legendäre Ausmaße erreichen soll.
(http://3.f.ix.de/imgs/18/1/2/8/6/6/1/0/pwnie2014-56cfe47ca137a538.jpeg)
Der Pwnie für den beeindruckendsten Server Bug geht in diesem Jahr, natürlich, an Heartbleed. Dessen Entdecker sagte beim Entgegennehmen des Preises, er habe die Lücke vor allem deswegen öffentlich gemacht, um einen Pwnie Award zu gewinnen. Leer aus ging Dan Farmer, der dieses Jahr kolossale Bugs im Fernwartungsprotokoll IPMI offenlegte. Den Pwnie für den besten Client Bug räumte Geohot ab, der vier Sicherheitslücken aneinander reihte, um Chrome beim Pwnium-Wettbewerb das Handwerk zu legen. Damit setzte er sich gegen Heartbleed und Apples GotoFail durch.
It's not a bug, it's a feature
Weniger freuen wird sich Antiviren-Hersteller AVG: Die Firma darf sich nun mit dem Pwnie für die "Lamest Vendor Response" schmücken. Denn wer schon im LAN einer Firma ist, sollte sich auch auf der Verwaltungssoftware für die im Netz installierten Virenscanner anmelden dürfen, um diese abzuschalten. Auch ohne gültiges Passwort.
Getoppt wird AVG da allerdings noch von Apple, die den "Most Epic Fail" verbuchen können. Vorhersehbar, denn GotoFail liest sich wie die Definition dieser Rubrik. Eine einzelne Zeile C-Code hatte die SSL-Implementierung von Mac OS und iOS komplett unwirksam gemacht. Wenn das Sprungziel dann auch noch "fail" heißt, ist der Pwnie schon absehbar. In jedem anderen Jahr wäre das mit Abstand der schlimmste Bug des Jahres geworden, doch zum Glück für Apples Image kam Heartbleed und überschattete alles.
Der dümmste Programmierer in der Geschichte der Menschheit
Auch die insolvente Bitcoin-Börse Mt.Gox bekam ihr Fett weg. Dessen Chef Mark Karpeles bekam den Pwnie für "Most Epic 0wnage", denn er hatte sich durch grundlegende Mängel in seiner Software hunderte Millionen Dollar in Bitcoins seiner Kunden stehlen lassen. Die Pwnie-Organisatoren fassen das in der Nominierung wie folgt zusammen: "Karpeles ist entweder der dümmste Programmierer in der Geschichte der Menschheit oder er war beim Diebstahl der Bitcoins seiner Kunden nicht ganz unschuldig."
Zum Abschluss gilt es noch die Gewinnerin des Pwnies für den besten Song zu würdigen. In diesem Jahr ist das eine leichte A-capella-Ballade zur Melodie von "Jingle Bells". Gewinnerin 0xabad1dea konnte sich mit dem mit leichter Stimme vorgetragenem "The SSL Smiley Song" gegen die 50-Cent-Parodie "I'm a C I Double S P" und weitere Konkurrenten wie NYAN und Dale Chase durchsetzen.
Quelle : www.heise.de
-
Ein IT-Sicherheitsexperte hat schwerwiegende Lücken in den Servern gefunden, über die Internetprovider die DSL-Router ihrer Kunden fernwarten. Angreifer könnten so massenhaft Router kapern und etwa manipulierte Firmware in die Geräte einspielen.
Shahar Tal von CheckPoint Software hat in Server-Software, die weltweit von Providern zur Fernkonfiguration von Routern verwendet wird, mehrere Schwachstellen entdeckt: Die bei vielen Providern auf den zuständigen Auto Configuration Servern (ACS) installierte Software weist Schwachstellen auf, die sich aus der Ferne mißbrauchen lassen. Tal entdeckte bei einer Stichprobe einen Provider aus dem mittleren Osten, über dessen fehlerhaftes ACS er Zugriff auf über 500 000 DSL-Modems seiner Kunden bekam.
Der ACS und die Router der Teilnehmer kommunizieren miteinander über das seit einigen Jahren weltweit verbreitete Protokoll TR-069 (Technical Report 069). Einer Statistik aus dem Jahr 2011 zufolge sind zirka 150 Millionen Breitband-Router für TR-069 ausgelegt. Neben DSL-Endgeräten gehören auch von Kabel-Providern ausgegebene Kabelmodems und -Router dazu. TR-069 haben viele Router-Hersteller erst auf Verlangen von Netzbetreibern und Providern in ihre Router implementiert. Bei den frei auf dem Markt erhältlichen Routern ist die TR-069-Funktion in der Regel abgeschaltet und nur auf Wunsch einschaltbar. Hingegen ist sie bei den von Providern gestellten, oft baugleichen Geräten in aller Regel aktiviert und nicht abschaltbar. Auch die in Deutschland beliebte Fritzbox von AVM eignet sich für TR-069. Bei den frei im Handel erhältlichen Modellen lässt sich TR-069 abschalten.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Def-Con-22-Millionen-DSL-Router-durch-TR-069-Fernwartung-kompromittierbar-2292576.html)
Quelle : www.heise.de
-
Jennifer Granick, Anwältin und streitbare Verteidigerin der Meinungsfreiheit, eröffnete die Sicherheitskonferenz Black Hat. In ihrer Ansprache zählte sie Punkte wie staatliche Überwachung als Anzeichen für den langsamen Tod des freien Internets auf.
Jennifer Granick, Anwältin und streitbare Verteidigerin der Meinungsfreiheit, bezeichnete während ihrer Eröffnungsansprache zur Hackerkonferenz Black Hat 2015 ein freies, unzensiertes Internet als ihren Traum – den sie nach und nach dem Tod entgegengehen sieht. Sie erwartet, dass das Netz durch subtile und weniger subtile Zensur, Kontrolle und staatliche Überwachung zu einem ähnlich langweiligen Massenmedium wird wie das Fernsehen.
Sie sieht unter anderem deswegen so schwarz, weil selbst demokratisch gewählte Regierungen, die im Rahmen von Grundgesetzen und dem Verständnis für Meinungsfreiheit agieren, der Freiheit empfindlich zusetzen. Die nächste Milliarde Internetnutzer komme aus Staaten, die keine solchen Regelungen kennen und dem Netz mit der ihnen eigenen Kontrollwut begegnen würden.
Vor 20 Jahren sah sie im Internet noch einen Ort, an dem sich all die austoben konnten, die mit Technik spielen und Soft- sowie Hardware untersuchen, verändern und per Reverse Engineering verstehen wollten. Diverse Gesetze habe das im Lauf der Zeit unmöglich gemacht. Aber auch die Passivität, mit der die Web-Nutzer diese Einschränkungen hinnähmen, trüge zum langsamen Dahinsiechen bei. Dazu komme, dass es einige wenige Engpässe gebe – Level 3 für Glasfaserverbindungen, Google für Suche und E-Mail, Amazon für Cloud-Dienste und so weiter –, die eine effiziente staatliche Kontrolle und Zensur möglich machen.
Produkthaftung bei Software
Auch die Produkthaftung bei Software war Thema der Ansprache: Granick ist, genau wie Konferenz-Gründer Jeff Moss, davon überzeugt, dass es über kurz oder lang Regelungen zur Produkthaftung bei Software geben wird. Sie unterscheidet hierbei zwar zwischen klassischen Softwarelösungen, wie sie Oracle und Microsoft böten, und vernetzten, softwaregesteuerten Geräten des Alltags. Im Fall von letzteren werde es schneller gehen, wenn netzwerkfähige Toaster abfackeln oder computergesteuerte Autos Menschenleben kosten. Solche Regelungen würden zwar die Entwicklungskosten in die Höhe treiben und Fortschritt behindern. Dennoch seien sie "unausweichlich".
Bekannt wurde Jennifer Granick, die seit über 20 Jahren als Teilnehmerin der Hackerkonferenz Defcon beiwohnt, in der Vergangenheit unter anderem als Vertreterin der Electronic Frontier Foundation (EFF). Sie verteidigte Hacker wie Kevin Poulsen oder Aaron Swartz und stand auch Jeff Moss, Gründer der Konferenzen Black Hat und Defcon, als Rechtsbeistand zur Seite. Heute ist sie Director of Civil Liberties am Stanford Center for Internet and Society.
Quelle : www.heise.de
-
Das Rüstungsabkommen Wassenaar scheidet die Security-Gemeinde, jetzt soll HP sein Engagement beim Pwn2Own-Event deswegen beendet haben. Da Zero-Day-Lücken gegen die Exportbestimmungen verstoßen könnten, ist der Wettbewerb wohl zu heikel.
Wie der Organisator des Hacking-Events Pwn2Own über Twitter bekannt gab, muss die nächste Ausgabe ohne Hauptsponsor Hewlett-Packard (HP) auskommen. Dragos Ruiu, Erfinder und Ausrichter der in Security-Kreisen hoch angesehenen Schwachstellen-Jagd, habe dies von der zu HP gehörenden Zero-Day-Initiative (ZDI) erfahren. Schuld sei ein Exportabkommen für Rüstungsgüter, das sogenannte Wassenaar Arrangement. Bei Pwn2Own können Hacker hunderttausende US-Dollar an Preisen für Lücken in Desktop- und Mobilgeräten abräumen – große Teile des Preisgeldes kommen von HP.
Die Firma hatte zwar bereits ein Pwn2Own-Event im März gesponsort, das fand allerdings auf der CanSecWest-Konferenz in Kanada statt. Die aktuelle Ausgabe soll im November in Japan steigen und genau da liegt der Hase im Pfeffer: Im Gegensatz zur kanadischen Umsetzung des Wassenaar-Abkommens seien die japanischen Gesetze so unübersichtlich, dass die Anwälte von HP das Hacker-Event für zu riskant halten. Insgesamt habe HP über eine Million US-Dollar ausgegeben, um die Konsequenzen des Wassenaar-Abkommens abzuschätzen, sagte Ruiu gegenüber der US-Nachrichtenseite Ars Technica.
Schadcode als Rüstungsgut
Änderungen des Wassenaar Arrangement, die seit Anfang des Jahres in Kraft sind und von den einzelnen Unterzeichner-Staaten separat umgesetzt werden müssen, besagen, dass auch Schadcode und Schwachstellen unter die Exportbeschränkungen von Rüstungsgütern fallen. In welchem Umfang dies zutrifft, ist momentan sehr unklar und wird seit Monaten von der Security-Gemeinde debattiert. Wie der aktuelle Fall zeigt, scheinen auch lokale Nuancen bei den Umsetzungen des Abkommens dabei durchaus schwer ins Gewicht zu fallen.
Die Anwälte von HP haben offensichtlich Angst, dass den Sicherheitsforschern die Ein- beziehungsweise Ausfuhr von Speichermedien mit Exploits zum Verhängnis werden könnte. Und eben solche Exploits sind die Ausrüstung, die Hacker dabei haben müssen, um bei Pwn2Own mitzumachen. Immerhin müssen sie live vor Zeugen das entsprechende Gerät übernehmen und brauchen dazu Schwachstellen in dessen Software, die am besten niemand anderes kennt – also genau jene Zero-Day-Exploits die unter Umständen den Exportbeschränkungen von Wassenaar unterliegen. HP will wohl nicht mit den Konsequenzen assoziiert werden.
Pwn2Own bleibt bestehen
Ruiu will nun erst einmal alleine mit Pwn2Own weitermachen. Die HP-Preisgelder sind nicht die einzigen Kollateralschäden, die die Unsicherheit über die Wassenaar-Änderungen nach sich zieht. Unter anderem hatte ein Sicherheitsforscher Mitte des Jahres bereits aus dem selben Grund die eigene Dissertation beschnitten. Eine Anfrage von heise Security, ob Wassenaar der Grund für den Ausstieg bei Pwn2Own ist, ließ HP bis jetzt unbeantwortet. Es kursieren ebenfalls Gerüchte, dass die Firma sich aus dem Engagement zurückzieht, weil sie den Verkauf ihrer Tochter Tipping Point erwägt. Auch die ZDI gehört zu Tipping Point.
Quelle : www.heise.de