Archiv für die Kategorie „Computersicherheit“

Angriff auf den Bundestag

Sonntag, 14. Juni 2015

Die Meldungen über staatliche Angriffe gegen staatliche Institutionen häufen sich momentan. So sollen Hacker sensible Unterlagen der U.S.-Regierung erlangt haben. Darunter sollen auch sensible Informationen aus Sicherheitsüberprüfungen gewesen sein. Auch deutsche Institutionen sind vor derartigen Angriffen aber nicht gefeit, wie der aktuelle Angriff auf den Deutschen Bundestag zeigt.

Entdeckung

Am 08.05.2015 soll ein Server der Bundestagsverwaltung wegen Überlastung zusammengebrochen sein. Die Untersuchung soll schnell auf einen Hacking-Angriff hingedeutet haben. Wenige Tage später soll auch beim Bundesamt für Verfassungsschutz (BfV) der Angriff bemerkt worden sein, weil ein verdächtiger Server im Ausland routinemäßig beobachtet wurde. Beiden Seiten dürfte schnell klar gewesen sein, dass es sich nicht um einen der üblichen Standard-Trojaner-Angriffe, sondern um einen planmäßig und raffiniert vorgehenden Täter handelt, der am ehesten einer staatlichen Organisation zuzuordnen sein dürfte. Dies sollen auch drei Computer-Forensiker bestätigt haben, die das BSI entsandt hat sowie Mitarbeiter einer privaten Forensik-Unternehmens. In einer Sitzung am 21.05.2015 Sitzung am 21.05.2015 hat BSI-Präsident Hange der IuK-Kommission des Deutschen Bundestages Bericht erstattet. Der vorliegende Angriff sei herausragend und nur vergleichbar mit etwa 5-10 von über 3.000 (ansonsten offenbar eher harmlosen) Angriffen auf das Netzwerk. Die Frage nach dem Täter – insbesondere ob es sich um Spionageaktivitäten aus Russland handelt – blieb bei der Sitzung am 21.05. offenbar unbeantwortet. Dies erstaunt nicht wirklich: IT-Angriffe lassen sich leicht verschleiern; Daten können beinahe beliebig so umgeleitet werden, dass sie aus bestimmten Regionen der Erde zu stammen scheinen. Täter nutzen derartige Techniken mitunter, um die (zumindest Erst-) Verantwortung anderen zuzuschreiben und die Ermittlung zu erschweren. Insbesondere gestaltet sich die Amts- und Rechtshilfe bei IT-Delikten mit russischen Behörden eher schwierig und langwierig. Ob der Täter daher wirklich auf russischer Seite zu suchen ist, muss sich daher erst noch zeigen.

Schäden

Unbestritten scheint aber zu sein, dass der Trojaner gewaltige Schäden angerichtet hat. Er konnte tief in das Netz des Bundestages eindringen. Selbst das interne „Parlamentarische Informations- und Kommunikationssystem” – kurz PARLAKOM – soll betroffen sein. Zudem konnten die Täter Administratorenzugriffe für die gesamte Infrastruktur erlangen und hatten “prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen”, so die Aussage in der Sitzung am 21.05.2015. BSI-Präsident Hange bezeichnete das Netz des Bundestages dort als “großflächig und umfangreich kompromittiert.” Hinweise, dass sensible Bereiche wie PKGr, NSA-Untersuchungsausschuss o.ä. durch den Angriff direkt betroffen sind, habe man (noch) nicht, man könne dies aber auch nicht ausschließen. Zum Teil wurde behauptet, es handele sich um einen “Totalschaden” für die IT im Deutschen Bundestag. Wenn es stimmt, dass die Täter Administratorrechte erlangt haben, sind die Folgen noch unabsehbar. Zum Teil wird mit Verweis auf die Edathy-Affäre befürchtet, kompromittierendes Material über Abgeordnete des Deutschen Bundestages könnte in die Hände ausländischer Nachrichtendienste gelangt sein. Zumindest aber der Abfluss vertraulicher Kommunikation dürfte dann kaum auszuschließen sein. Zudem wäre es mit Hilfe von Administratorzugängen möglich, auch die Spuren so zu verwischen, dass nicht mehr nachvollzogen werden kann, was die Täter genau gemacht haben und auf welche Daten sie zugegriffen haben. Ob daher tatsächlich nur 15 Rechner unmittelbar betroffen sind, wird sich dann erst noch zeigen müssen.

Aufklärung? Fehlanzeige.

Normalerweise sollten bei einem derart schwerwiegenden Eingriff mehrere Maßnahmen ineinandergreifen. Zeit ist dabei der größte Feind, denn je länger die Maßnahmen dauern, desto größer die Gefahr, dass Spuren beseitigt und weitere Rechner kompromittiert werden. Was also wäre klassischerweise zu tun, wenn beispielsweise ein Unternehmen betroffen wäre? Erstens sollten die betroffenen Rechner bzw. das Netz so isoliert werden, dass keine weiteren Datenabflüsse mehr möglich sind. Dies dient dem Schutz vor einem unkontrollierten Datenabfluss. Auch soll der Täter keinen Zugriff mehr auf seinen Trojaner haben – er könnte z.B. Spuren verwischen, Fernlöschungen veranlassen u.v.m. Wer nun meint, dass bei einem derartigen Angriff die Rechner des Parlaments vom Netz genommen wurden, der irrt. Nach wie vor, das heißt vier Wochen nach Entdeckung des Angriffs, ist sowohl das Bundestagsnetz als auch der Trojaner aktiv, lediglich einige Dienste werden über das IVBB-Netz der Bundesregierung geroutet. Zweitens sollten die Polizei bzw. Spezialisten eingeschaltet werden, um Spuren zu sichern und eine weitere Analyse der Angriffsmuster zu entdecken. Dies wird ohnehin dadurch erschwert, dass im Bundestag Verkehrsdaten nur sieben Tage lang gespeichert werden und damit Hin- und Nachweise zum Vorgehen der Täter äußert flüchtig sind. Der Bundestag scheint hingegen der Auffassung zu sein, besser als alle anderen Behörden arbeiten zu können. Das BSI ist lediglich mit beratender Funktion hinzugezogen worden. Offenbar gibt es im Parlament Vorbehalte, dem BSI weitergehende Zugriffe zu erlauben. Begründet wird dies mit “verfassungsrechtlichen Bedenken” und vor allem mit der Vorgängergeschichte des BSI: Dieses ist ursprünglich aus dem Bundesnachrichtendienst hervorgegangen. Dies ist allerdings schon viele Jahre her: Die Vorgängerbehörde der “Zentralstelle für Sicherheit in der Informationstechnik” (ZSI) war dem Bundesnachrichtendienst unterstellt. Das BSI ist bereits im Jahr 1991 gegründet worden und hat diese Funktion von dort übernommen. Die Verflechtung mit dem BND ist also bereits über 20 Jahre her. Auch dem BKA sind offenbar bisher Ermittlungen nicht gestattet worden, denn der Bundestag habe seine eigene Polizei. Das BKA sei daher bislang nicht kontaktiert worden. Drittens sollten in einem Fall wie diesem der Verfassungsschutz eingeschaltet werden. Der Verfassungsschutz ist in Deutschland die Behörde, die für die Erkennung, Aufdeckung und Abwehr von Spionagefällen zuständig ist. Auch hier sind aber die politischen Berührungsängste offenbar größer als die fachliche Fähigkeiten. Das BfV sollte nicht tätig werden, da es der parlamentarischen Kontrolle unterliege. Es könne nicht angehen, dass eine vom Parlament kontrollierte Behörde eben jenes Parlament kontrolliere. Zwischenzeitlich soll das BfV zumindest die weiteren Untersuchungen “begleiten”. Dabei soll es aber ausdrücklich “nicht innerhalb des IT-Systems tätig” werden, dies schließt die Abgeordnetenbüros, Fraktionen und Verwaltung mit ein. Viertens müssen die Mitarbeiter im betroffenen Unternehmen unterrichtet werden. Häufig herrscht beim Bekanntwerden einer Attacke große Verunsicherung: niemand weiß, wer und welche Daten betroffen sind, was zu tun ist oder was schon veranlasst wurde. Auch hier tut sich der Bundestag offenbar reichlich schwer. Fraktionsübergreifend beschweren sich viele Abgeordnete, dass sie von Seiten der Bundestagsverwaltung so gut wie überhaupt nicht informiert werden. Nicht einmal Sicherheitshinweise sind offenbar verteilt worden.

Bewertung

Es mutet schon abenteuerlich an, was gegenwärtig im Bundestag passiert. Da ereignet sich offenbar der schwerste Cyber-Angriff in der Geschichte des deutschen Parlaments (peinlicherweise zeitgleich mit dem Beschluss des IT-Sicherheitsgesetzes) und mit geradezu verzweifelt anmutender Behäbigkeit sollen alle kompetenten Behörden außenvorgelassen werden: Die Polizei soll nicht ermitteln, das BSI möglichst nur beraten und das BfV am besten von außen zuschauen. Gleichzeitig ist der Trojaner offenbar immer noch aktiv, Datenabflüsse sind noch nicht aufgeklärt und finden möglicherweise immer noch statt. In jedem größeren deutschen Unternehmen wäre unter diesen Vorzeichen der Vorstand rausgeworfen worden – und dies vollkommen zu recht. Selbst Abgeordnete bezeichnen das aktuelle Geschehen als “erschreckende Hilflosigkeit” und “gefährliche Naivität”. Im Bundestag geht derweil der Alltag weiter, als ob nichts geschehen wäre. Vereinzelt wird die Schuld bei der Bundesregierung gesucht. Diese habe in den letzten Jahren das Cyberabwehrzentrum eingerichtet und es personell nicht ausreichend ausgestattet. Das ist zwar richtig, hat aber mit der Sache nichts zu tun: Im BfV, das im Cyberabwehrzentrum vertreten ist, ist der Angriff immerhin rechtzeitig erkannt worden. Während die Bundesregierung zudem mit dem Informationsverbund Berlin-Bonn (IVBB) auf ein abgesichertes Regierungsnetz setzt (das angeblich den Angriff auch rechtzeitig hätte abwehren können) besteht der Bundestag auf einem eigenen Netz, das er selbst pflegt. Das kann man mit Verweis auf die Funktion des Deutschen Bundestages als Kontrolleur der Bundesregierung für richtig halten, in technischer Hinsicht ist dieses Verfahren, das mit einer Duplizierung  aller Sicherheitsmaßnahmen einhergehen müsste, allerdings fragwürdig. Außerdem bleibt festzuhalten: Wenn die zuständigen Behörden nicht zum Ort des Geschehens zugelassen werden, dann können sie auch nichts gegen einen Cyberangriff unternehmen. Auch aus diesem Grund geht der Vorwurf fehl, die Bundesregierung habe die IT-Probleme “verschnarcht”. Im Moment muss sich daher nur der Bundestag, der in Punkto IT-Sicherheit ohnehin nicht den besten Ruf hat, an seine Nase fassen und die Frage gefallen lassen, ob er bislang nicht alles falsch gemacht hat, was man bei einem derartigen Vorfall falsch machen kann.

Staatstrojaner

Montag, 10. Oktober 2011

Der Chaos Computer Club (CCC) hat einen “Staatstrojaner” (mit diesem Begriff soll offenbar klargestellt werden, dass es sich nicht (zwingend) um einen “Bundestrojaner” handelt) in die Finger bekommen und ausgiebig analysiert. Das Ergebnis fällt (erwartungsgemäß) katastrophal aus:

Der Einsatz von AES in dem gezeigten katastrophalen Gesamtumfeld – ohne Session-Keys, mit ECB, und nur in eine Richtung – deutet auf Ausschreibungen im öffentlichen Sektor hin, bei denen AES gefordert wurde, aber der Rest nicht spezifiziert war. Mehr als einen Bonuspunkt in der B-Note können wir hier leider nicht vergeben.

Wir sind hocherfreut, daß sich für die moralisch fragwürdige Tätigkeit der Programmierung der Computerwanze keine fähiger Experte gewinnen ließ und die Aufgabe am Ende bei studentischen Hilfskräften mit noch nicht entwickeltem festen Moralfundament hängenblieb.

Auf der anderen Seite sind wir erschüttert, daß ein solches System bei der Qualitätssicherung auch nur durch das Sekretariat kommen konnte.

Tatsächlich scheint es sich aber gar nicht um eine staatlich programmierte Software zu handeln, sondern um eine Entwicklung der Firma DigiTask, die staatlich lediglich lizenziert (und ggf. modifiziert) worden ist. Wie auch immer dem sei: Die Liste der gegen grundlegende Sicherheitsstandards verstoßenden Eigenschaften der Software ist in der Tat recht beeindruckend:

So ist zwar die Kommunikation des Trojaners verschlüsselt – allerdings nur die ausgehende Richtung (und das zudem offenbar nicht einmal besonders gut). Schlimmer ist allerdings, dass keine Authentifizierung stattfindet, d.h. jeder beliebige Dritte kann

  • den Trojaner übernehmen
  • sich gegenüber dem Command-and-Controlserver als Trojaner ausgeben und dort gefälschte Informationen abgeben (z.B. um einem Dritten zu Beweiszwecken falsche Inhalte unterzuschieben)
  • auf dem Rechner mit Hilfe des Trojaners beliebige Software auszuführen.

Alleine diese Tatsache ist ein gravierender Verstoß gegen § 20k BKAG (bzw. die entsprechenden landesrechtlichen Vorschriften). Danach ist die eingesetzte Software “nach dem Stand der Technik gegen unbefugte Nutzung zu schützen.” Dabei handelt es sich auch nicht nur um eine bloße Ordnungsvorschrift, sondern um die Umsetzung der verfassungsrechtlichen Vorgaben.

Weiterhin werden Daten – wie bei sonstiger Malware (und inbs. bei Botnetzen) üblich – zu einem Command-and-Controlserver ausgeleitet. Dieser steht allerdings in den Vereinigten Staaten. Neben der Frage, vor wem hier etwas verschleiert werden soll (immerhin handelt es sich um eine polizeiliche Überwachungsmaßnahme und nicht um einen transnationalen Spionageangriff), stellen sich datenschutzrechtlich einige Fragen, etwa hinsichtlich der Einhaltung von Art. 25 der Europäischen Datenschutzrichtlinie aufwirft.

Der CCC geht in seiner Analyse davon aus, dass es sich bei der Software um eine solche für eine Quellen-TKÜ handelt. Vor diesem Hintergrund wären die eingebauten Funktionen, wie etwa Screenshot-Funktionalität und ähnliches in der Tat äußerst bedenklich. Woher sich diese Annahme ableitet, wird allerdings nicht ganz klar. Denkbar wäre es evtl. daher auch, dass es sich nicht (nur) um die Software für eine Quellen-TKÜ, sondern um eine für die Online-Durchsuchung handelt. Auch dann erscheint die modulare (und richterlich nicht unbedingt kontrollierte) Erweiterbarkeit des Trojaners jedoch zumindest bedenklich. Die oben angeführten Sicherheitsmängel wären dann zudem umso bedeutender, da nicht “nur” auf die Kommunikation zugegriffen werden kann, sondern auf alle Rechnerinhalte.

Woher die Software stammt, bleibt ebenfalls offen. Es scheint aber, dass dem CCC mehrere Festplatten mit (ggf. nur schlecht gelöschten) Trojanern zur Verfügung gestellt wurden. Es soll sich bei der veröffentlichten Version jedenfalls nicht um die aktuellste Version handeln (woraus geschlossen werden kann, dass dem CCC auch aktuellere Versionen vorliegen). Dass die Software möglicherweise von einem Polizisten (oder einem Mitarbeiter der beauftragten Firma) dem CCC zugespielt wurde, ist aber eine durchaus ebenfalls in Betracht zu ziehende Möglichkeit.

Auch die Frage, welche Behörde den Trojaner eingesetzt hat, ist nicht geklärt. Die Vermutung, dass “0zapftis”, wie einige Routinen bezeichnet sind, in Richtung Süddeutschland deuten, hat sich jedenfalls heute bestätigt. Danach soll es sich um den sog. “Bayerntrojaner” handeln.

Durch die Analyse der Software dürfte der Einsatz in der gegenwärtigen Form nicht mehr möglich sein – unter anderem, da sich der Trojaner mit einer charakteristischen Sequenz meldet und damit für Virenscanner erkennbar ist. Wer daraufhin seinen Rechner besorgt untersucht, dürfte allerdings nicht (mehr) fündig werden: vor der Veröffentlichung hat der CCC das Bundesinnenministerium informiert, um den Abbruch gegenwärtig noch laufender Maßnahmen zu ermöglichen. Zumindest der CCC steht zu seinen Prinzipien und Regularien.

Schwache Passwörter

Samstag, 10. September 2011

Für den Fall, dass jemand sein Passwort vergisst, gibt es häufig die Möglichkeit, eine Sicherheitsfrage zu hinterlegen, z.B. nach dem Mädchennamen der Mutter. Während derartige Fragen bei “Otto-Normalverbraucher” für Dritte scheinbar nicht aufklärbar sind und daher eine ausreichende Sicherheit bieten, ist dies nicht der Fall, wenn es um Prominente geht. Schmerzlich musste dies zum Beispiel Sarah Palin feststellen, als ihr Account  im Jahr 2008 gehackt und private Mails und Bilder ins Netzt gestellt wurden. Nach Angaben der Täter hat es weniger als eine Stunde gedauert, die Sicherheitsfragen mit Hilfe von Wikipedia zu beantworten und sich so ein neues Passwort zuschicken zu lassen, mit dem anschließend der Account übernommen werden konnte.

Einen neuen Tiefpunkt bei derartigen Sicherheitsabfragen hat jetzt Bruce Schneier enthüllt:

Was ist ihr bevorzugtes Internet-Passwort?

Nachdem selbst in technik-affinen Kreisen ein Großteil der Nutzer für unterschiedliche Dienste das gleiche Passwort oder zumindest nur wenige unterschiedliche benutzt, erübrigt sich jeder weitere Kommentar.

Typosquatting

Samstag, 10. September 2011

Wie häufig passiert es, dass man z.B. http://www.gogole.de eintippt, statt http://www.google.de? Derartige “Vertipper” kennt wahrscheinlich jeder. Bislang wurde dies vor allem von Firmen genutzt, die derartige Domains für sich registriert haben, um den darauf fehlgeleiteten Traffic für Werbeanzeigen zu nutzen und darüber Geld zu verdienen. Die Registrierung dieser “Vertipper”-Domains wird als “Typosquatting” bezeichnet.

Zwei Wissenschaftler haben nun derartige Domains für viele der sog. “Fortune 500 Companies”, also weltweit agierende, große Unternehmen registriert. Zweck war es allerdings nicht, Web-Traffic für Werbeanzeigen zu generieren, sondern gezielt fehlgeleitete E-Mails zu erfassen und auszuwerten. Nach sechs Monaten konnten sie knapp 20 Gigabyte Daten analysieren. Wenn man sich vor Augen führt, dass eine E-Mail üblicherweise nur wenige Kilobyte groß ist (ohne Attachments), dann kann man sich ausmalen, wie viel Datenverkehr ausgewertet werden konnte. Unter den – “abgefangen” ist hier wohl das falsche Wort – erhaltenen E-Mails befanden sich solche mit den Usernamen und Passwörtern von Angestellten, Details zur Netzwerkkonfiguration, Rechnungen und ähnliche Dokumente.

Details sind in einem Paper der beiden Wissenschaftler veröffentlicht worden. Danach waren etwa 30% der Fortune 500 Companies grundsätzlich für derartige Angriffe verwundbar. Bei ihren Recherchen fanden die Wissenschaftler zudem heraus, dass bereits einige Typo-Domains für große U.S.-Firmen von China aus registriert worden waren. Es liegt daher nahe anzunehmen, dass derartige Angriffe bereits gefahren werden.

Ein besonderes Risiko liegt hierbei vor allem darin, dass die Angriffe kaum bemerkt werden können, da kein Angriff auf die eigene Infrastruktur stattfindet. Es handelt sich also um rein passive Angriffe. Bei Vertippern in E-Mails wird meist lediglich eine Fehlermeldung empfangen, die kein weiteres Misstrauen hervorruft. Oder das Missgeschick wird aus einem Grund bemerkt kommentarlos durch den Absender korrigiert (indem die Mail an den richtigen Empfänger erneut gesendet wird). Besonders Firmen, die Subdomains nutzen (z.B. se.ibm.com für den schwedischen Teil der Firma IBM) scheinen verwundbar zu sein (etwa beim versehentlichen Weglassen des Punktes bei Registrierung von seibm.com). Von den 30 Domains, die durch die Wissenschaftler registriert wurden, bemerkte lediglich eine einzige Firma die Aktion und drohte mit einer gerichtlichen Verfolgung, falls die Domain nicht wieder freigegeben würde.

Aus Sicht der Wissenschaftler kommen vor allem zwei Möglichkeiten in Betracht, um derartige Angriffe zu verhindern. Zum einen können Firmen versuchen, mögliche Typo-Domains selbst zu registrieren. Dies wäre jedenfalls für die gängigen Vertipper möglich. Zum anderen kann der interne Netzwerkverkehr zu derartigen Domains auf der Ebene des Routers blockiert werden. Damit werden zwar keine externen Mails an die Doppelgänger-Domains blockiert, aber zumindest der interne Datenverkehr kann ausgefiltert werden.

Autos per SMS fernsteuern

Donnerstag, 8. September 2011

In neueren Autos befinden sich bekanntermaßen immer mehr elektronische Bauteile. Diese Tatsache wird bereits seit geraumer Zeit von kriminellen Tätern genutzt, etwa um den digitalen Tachostand eines Fahrzeugs unbemerkt zu manipulieren. Auf diese Weise kann zum Beispiel für ein älteres Fahrzeug ein höherer Verkaufspreis erzielt werden. Auch sonstige Veränderungen des Fahrzeugs sind grundsätzlich möglich (etwa das Heraufsetzen der vom Hersteller vorgegebenen maximalen Fahrgeschwindigkeit), setzten bisher jedoch meist einen physikalischen Zugriff auf das Auto voraus.

Neuere Fahrzeuge erlauben jedoch zunehmend drahtlose Übertragungswege. Hierfür kommen u.a. standardmäßig Bauteile zum Einsatz, die über Mobilfunkschnittstellen angesprochen werden können. Dies bietet nun ganz neue Angriffsmöglichkeiten.

Auf der letzten Blackhat Konferenz stellten iSEC Partners einen Angriff auf einen Subaru Outback vor, bei dem mittels manipulierter SMS das Alarmsystem des Fahrzeug deaktiviert, die Türen geöffnet und der Motor gestartet werden konnte.

Derartige Angriffe stehen zwar erst am Anfang und sind noch mit einer Reihe von Herausforderungen verbunden (u.a. besteht ein Problem darin, die korrekte Telefonnummer für ein gewünschtes Ziel zu finden), so dass noch nicht mit einem massenhaften Einsatz zu rechnen ist. Erste Lösungsansätze und Tools wurden jedoch offenbar auf der Blackhat bereits präsentiert. Zudem sind derartige SMS-Angriffe nicht auf Autos beschränkt, sondern können auch bei anderen Systemen zur Anwendung kommen, bei denen derartige Bauteile verbaut sind, u.a. Geldautomaten, bestimmte medizinische Geräte oder sogar Verkehrsampeln.

Eine Gegenwehr gegen derartige Angriffe dürfte sich schwierig gestalten, denn die Autobesitzer (bzw. Betreiber der anderen genannten Geräte) werden regelmäßig gar keinen Zugriff auf die Bordelektronik haben. Rufnummernfilter und ähnliche Abwehrmaßnahmen werden sich daher in vielen Fällen nur durch die Provider setzen lassen. Weiterhin setzen erfolgreiche Maßnahmen zunächst voraus, dass Angriffe überhaupt registriert werden. Bereits wegen einer fehlenden Protokollierung könnte dies jedoch schwer werden. Gleichzeitig können sich die Täter (etwa bei der Nutzung von nicht registrierten Prepaid-Telefonen) recht sicher sein, dass Angriffe nicht zu ihnen zurückverfolgt werden können.

Wardriving 2.0

Sonntag, 14. August 2011

Wardriving ist ein alter Hut. Bewaffnet mit einem Laptop und einem GPS-Empfänger fährt man im Auto durch die Gegend, um offene (und ggf. auch gesicherte) WLANs zu finden und auf einer Karte zu dokumentieren. Da man in einige Gegenden mit dem Auto entweder gar nicht oder nur sehr auffällig gelangt, kamen schon früh einige Aktivisten auf die Idee, das Auto gegen ein Flugzeug auszutauschen. Warflying nannte sich das dann. Nun gibt es eine weitere Steigerung: zwei Sicherheitsexperten haben Warflying mit einem IMSI-Catcher kombiniert – und das ausschließlich mit kostengünstig und frei erwerbbaren Teilen.

Ein IMSI-Catcher gibt sich gegenüber einem Handy als Basisstation aus, in die sich ein Mobiltelefon einbucht, wenn das Signal ausreichend stark ist. Auf diese Weise kann die International Mobile Subscriber Identity (IMSI) ausgelesen werden, mit der Teilnehmer eindeutig identifiziert werden können (daher der Name IMSI-Catcher) und z.B. der genaue Standort des Geräts ermittelt werden. Letztlich lässt sich auf diesem Weg auch ein Telefonat abhören, was einen IMSI-Catcher sowohl für Strafverfolgungsbehörden als auch grundsätzlich für Kriminelle (z.B. im Bereich der Wirtschaftsspionage) sehr interessant macht. Kommerzielle Geräte waren früher allerdings nur für sechsstellige Eurobeträge und mit besonderer Genehmigung erhältlich, was die Einsatzhäufigkeit drastisch reduziert hat. Inzwischen hat sich das Preisniveau zwar teilweise etwas entspannt, für weite Teile der Bevölkerung bleiben derartige Geräte aber dennoch unerschwinglich (und der Einsatz illegal).

Letztes Jahr sorgte daher ein IMSI-Catcher im Eigenbau für nur 1.500 EUR für großes Aufsehen. Da liegt es nahe, derartige Technik mit geeignetem Fluggerät zu kombinieren. Die Drohne, die Mike Tassey und Richard Perkins nach einem Bericht auf Golem (dort gibt es auch ein Video) nun gebaut haben, kommt mit 6.000 Dollar zwar etwas teurer als der Billig-Catcher alleine, ist dafür aber ausschließlich aus legal erwerbbaren Teilen zusammengebaut und erlaubt den Angriff auf Mobiltelefone aus der Luft. Die WASP (Wireless Aerial Surveillance Platform) getaufte Konstruktion soll sich nach Aussage der Entwickler “auch zum Guten einsetzen” lassen, zum Beispiel, um “das Mobilfunksignal einer vermissten Person aufzuspüren”. Ob dies tatsächlich der bevorzugte Einsatzzweck sein wird, wage ich zu bezweifeln.

Sicherheitslücken in höheren Sphären

Freitag, 1. April 2011

Datensicherheit betrifft längst nicht mehr nur Computer zu Hause oder in Firmen. Spätestens seit die Geschehnisse um Stuxnet publik geworden sind, ist klar, dass auch kritische Infrastruktur von vernetzten Computersystemen abhängig ist und eine Manipulation im Extremfall auch Menschenleben gefährden kann. Die Vernetzung macht selbst vor Kriegsschiffen und Krankenhäusern nicht halt. Insofern verwundert es nicht, dass nun bekannt wurde, dass auch bei der NASA einige „hochkritische“ Sicherheitslücken entdeckt wurden. Betroffen sollen auch Server gewesen sein, die für die Kontrolle von Raumfahrzeugen zuständig sind. Weiterhin soll der Zugriff auf sicherheitsrelevante Daten möglich gewesen sein. Obwohl die Lücke bereits seit fast einem Jahr bekannt gewesen sein soll und es vor zwei Jahren Datenabzüge im zweistelligen GB-Bereich gegeben haben soll, fand ein echtes Security-Audit bis jetzt offenbar nicht statt. Möglicherweise ist es also nur eine Frage der Zeit, bis jemand von seinem PC aus mal direkte Grüße an die Astronauten schickt, oder das Weltraumteleskop Hubble neu ausrichtet. Beides wären eher die harmloseren Möglichkeiten…

Das Leben der Anderen

Montag, 13. Dezember 2010

Die immer weiter zunehmende Chat-Bereitschaft nicht nur über die Tastatur, sondern auch über die (meist in neueren Laptops schon eingebaute) Kamera gepaart mit günstigen Flatrates, die dazu führen, dass viele Computer 24/7 angeschaltet sind, bedeuten auch für ambitionierte Cyberkriminelle spannende Herausforderungen. In mehreren Fällen ist in der letzten Zeit über Täter berichtet worden, die über das Internet auf die Kamera ihrer Opfer zugegriffen haben und – wortwörtlich – so in Wohn- und Schlafzimmer eingedrungen sind. In einem Fall brüstete sich der Täter vor seinen Freunden, dass er umfangreiches Material, z.B. einer Teenagerin in Schuluniform, einer Mutter mit ihrem Neugeborenen im Krankenhaus sowie intimes sexuell einschlägiges Material auf diese Weise auf seinen Rechner gebracht habe.

In einem anderen Fall ging der Täter auf die gleiche Weise vor und sicherte sich vor allem Bilder, auf denen die ahnungslosen Opfer beim An- und Ausziehen zu sehen waren. Etwa drei Millionen Bilder wurden auf seinem Rechner später gefunden. Nachweislich war er in einem guten halben Jahr in fast 100 Rechner von Kindern und Erwachsenen eingedrungen.

Technisch waren sich beide Täter ähnlich. Sie hatten E-Mails verschickt, die einen Trojaner auf den Rechnern der Opfer implementierten. Neben einer ausgeprägten voyeuristischen Ader hatten beide zudem versucht, ihr Selbstwert- und Machtgefühl durch die Taten zu steigern. So konnte anhand der Chatlogs nachvollzogen werden, wie einer der beiden vor seinem Freund damit angab, ein 16 Jahre altes Mädchen sei in Tränen ausgebrochen, nachdem er begonnen habe, auf ihrem Bildschirm Wörter zu vertauschen – nachdem er sie bereits stundenlang beobachtet hatte.

Die Täter sind zu 22 Monaten auf Bewährung (nach deutschem Recht) bzw. 18 Monaten Haft (nach englischem Recht) verurteilt worden. Aufgeflogen waren beide allerdings aus gänzlich anderen Gründen: Während der englische Täter für mehrere Jahre unbehelligt seinem Hobby frönen konnte und lediglich seine sonstigen (ebenfalls cyber-) kriminellen Aktivitäten in einer Hacker-Gruppe Scotland Yard und finnische Behörden auf den Plan lief, fiel der deutsche Täter unmittelbar aufgrund seiner Webcam-Leidenschaft auf: Eines seiner Opfer hatte beim Besuch eines Datenschutzbeauftragten in der Schule darüber berichtet, dass die Kontroll-Leuchte der Webcam am Laptop ständig an sei. Im Rahmen der darauf folgenden Ermittlungen war der Trojaner aufgefallen und der Täter konnte kurz darauf verhaftet werden.

Virtueller Mord

Mittwoch, 13. Oktober 2010

Mit Hilfe des Internets können alle möglichen Straftaten begangen werden. Eigentlich, so liest man zum Teil, gäbe es keine “klassische” Straftat, die sich nicht auch mit Hilfe des Internet verwirklichen ließe. Als Paradebeispiel wird dann oft der “virtuelle Mord” genannt.

Abgesehen davon, dass der Mord in der Regel sehr real und nur die Tötungsmethode virtuell ausgeführt wird (Ausnahmen bestätigen die Regel), scheinen viele Fälle eher zweifelhaft. Da gibt es zum Beispiel die Kontaktanbahnung über das Internet mit anschließendem echten Treffen. Mit “virtuellem Mord” hat dieser modus operandi allerdings ebenso viel zu tun wie bei den Fällen, bei denen das Internet lediglich irgendeine Rolle für das Motiv des Täters spielt. Über Fälle, bei denen die Tötung tatsächlich über das Internet vollzogen wird, liest man hingegen eher selten.

Ein Beispiel, das von Zeit zu Zeit genannt wird, ist der Zugriff auf lebenserhaltende Systeme im Krankenhaus. So soll das Oberhaupt einer italienischen kriminellen Gruppe mit einer Schusswunde in ein Krankenhaus eingeliefert worden sein. In der Nacht sollen sich seine Gegner elektronisch Zugang zu dem Rechner verschafft haben, der die Medikamention des Patienten steuert. Dort, so wird berichtet, haben seine Gegner die Zusammensetzung der Injektion verändert und – nachdem der Gangsterboß daran verstorben war – alles wieder auf die Ursprungswerte zurückgesetzt, um ihre Spuren zu verwischen.

Dieser Fall klingt allerdings zu “gut”, um wahr zu sein. Zwar, das zeigt Stuxnet, ist ein Zugriff auf industrielle Steuerungsanlagen tatsächlich möglich. Nach glaubwürdigen Aussagen passiert das auch nicht wirklich selten. Grundsätzlich erscheint es daher nicht ausgeschlossen, dass auch Krankenhauscomputer angegriffen und die darüber gesteuerten Instrumente manipuliert werden.

Meist steckt jedoch ein großer Aufwand hinter solchen Angriffen. Zudem benötigt auch ein guter Programmierer in der Regel viel Zeit, um derartige Attacken vorzubereiten. Dass nun eine italienische Mafia (?) Gruppierung innerhalb von 24 Stunden in ein Krankenhaussystem eindringt, dieses zufälligerweise auch noch für die Medikamention des Gesuchten verantwortlich ist, es sich gerade so manipulieren lässt, dass die Dosis letal wirken kann, alles so durchgeführt wird, dass andere lebensüberwachende Instrumente nicht anschlagen und das Ableben nicht rechtzeitig bemerkt wird und die Geschichte später von einer Zeitung nebenbei berichtet werden kann (übrigens ohne weitere Quellenangabe), erscheint in der Summe doch etwas zu viel. Insbesondere erscheint es nicht schlüssig, dass, wenn es lediglich auf das schnelle Ableben des Mafia-Bosses ankommt, nicht einfach ein ganz einfacher Mord, etwa durch Erschießen im Krankenhaus, in Auftrag gegeben wird, statt sich aufwändig in Hacking-Manövern zu verstricken.

Gleichwohl besteht die grundsätzliche Gefahr, dass derartige Taten zukünftig zu beobachten sein werden. Wahrscheinlicher erscheint allerdings, dass Hacker möglicherweise gar nicht erkennen, wo sie gelandet sind und eher aus Versehen als mit Absicht Patienten vom Leben zum Tod befördern. Fälle, bei denen Angreifer unabsichtlich auf schlecht gesicherten Krankenhausrechnern gelandet sind, wurden jedenfalls schon glaubhaft geschildert.

Den Apps auf die Finger sehen

Montag, 4. Oktober 2010

Apps, die heimlich nach Hause telefonieren sind zu einem echten Problem geworden. Zumindest für die Plattform “Android” gibt es jetzt eine technisch aufwendige, für die Nutzer aber einfach zu implementierende Lösung. TaintDroid installiert auf dem Telefon eine virtuelle Java-Maschine, die sämtliche Interaktionen der App abfangen kann. Nach einer Untersuchung der Forscher sendet ein Großteil der 30 beliebtesten Android-Anwendungen fleißig im Hintergrund Informationen über den Nutzer und seine Aktionen, z.B. Standortdaten, Geräte-ID, SIM-ID oder sogar die Telefonnummer.