Artikel-Schlagworte: „Cybercrime“

Angriff auf den Bundestag

Sonntag, 14. Juni 2015

Die Meldungen über staatliche Angriffe gegen staatliche Institutionen häufen sich momentan. So sollen Hacker sensible Unterlagen der U.S.-Regierung erlangt haben. Darunter sollen auch sensible Informationen aus Sicherheitsüberprüfungen gewesen sein. Auch deutsche Institutionen sind vor derartigen Angriffen aber nicht gefeit, wie der aktuelle Angriff auf den Deutschen Bundestag zeigt.

Entdeckung

Am 08.05.2015 soll ein Server der Bundestagsverwaltung wegen Überlastung zusammengebrochen sein. Die Untersuchung soll schnell auf einen Hacking-Angriff hingedeutet haben. Wenige Tage später soll auch beim Bundesamt für Verfassungsschutz (BfV) der Angriff bemerkt worden sein, weil ein verdächtiger Server im Ausland routinemäßig beobachtet wurde. Beiden Seiten dürfte schnell klar gewesen sein, dass es sich nicht um einen der üblichen Standard-Trojaner-Angriffe, sondern um einen planmäßig und raffiniert vorgehenden Täter handelt, der am ehesten einer staatlichen Organisation zuzuordnen sein dürfte. Dies sollen auch drei Computer-Forensiker bestätigt haben, die das BSI entsandt hat sowie Mitarbeiter einer privaten Forensik-Unternehmens. In einer Sitzung am 21.05.2015 Sitzung am 21.05.2015 hat BSI-Präsident Hange der IuK-Kommission des Deutschen Bundestages Bericht erstattet. Der vorliegende Angriff sei herausragend und nur vergleichbar mit etwa 5-10 von über 3.000 (ansonsten offenbar eher harmlosen) Angriffen auf das Netzwerk. Die Frage nach dem Täter – insbesondere ob es sich um Spionageaktivitäten aus Russland handelt – blieb bei der Sitzung am 21.05. offenbar unbeantwortet. Dies erstaunt nicht wirklich: IT-Angriffe lassen sich leicht verschleiern; Daten können beinahe beliebig so umgeleitet werden, dass sie aus bestimmten Regionen der Erde zu stammen scheinen. Täter nutzen derartige Techniken mitunter, um die (zumindest Erst-) Verantwortung anderen zuzuschreiben und die Ermittlung zu erschweren. Insbesondere gestaltet sich die Amts- und Rechtshilfe bei IT-Delikten mit russischen Behörden eher schwierig und langwierig. Ob der Täter daher wirklich auf russischer Seite zu suchen ist, muss sich daher erst noch zeigen.

Schäden

Unbestritten scheint aber zu sein, dass der Trojaner gewaltige Schäden angerichtet hat. Er konnte tief in das Netz des Bundestages eindringen. Selbst das interne „Parlamentarische Informations- und Kommunikationssystem” – kurz PARLAKOM – soll betroffen sein. Zudem konnten die Täter Administratorenzugriffe für die gesamte Infrastruktur erlangen und hatten “prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen”, so die Aussage in der Sitzung am 21.05.2015. BSI-Präsident Hange bezeichnete das Netz des Bundestages dort als “großflächig und umfangreich kompromittiert.” Hinweise, dass sensible Bereiche wie PKGr, NSA-Untersuchungsausschuss o.ä. durch den Angriff direkt betroffen sind, habe man (noch) nicht, man könne dies aber auch nicht ausschließen. Zum Teil wurde behauptet, es handele sich um einen “Totalschaden” für die IT im Deutschen Bundestag. Wenn es stimmt, dass die Täter Administratorrechte erlangt haben, sind die Folgen noch unabsehbar. Zum Teil wird mit Verweis auf die Edathy-Affäre befürchtet, kompromittierendes Material über Abgeordnete des Deutschen Bundestages könnte in die Hände ausländischer Nachrichtendienste gelangt sein. Zumindest aber der Abfluss vertraulicher Kommunikation dürfte dann kaum auszuschließen sein. Zudem wäre es mit Hilfe von Administratorzugängen möglich, auch die Spuren so zu verwischen, dass nicht mehr nachvollzogen werden kann, was die Täter genau gemacht haben und auf welche Daten sie zugegriffen haben. Ob daher tatsächlich nur 15 Rechner unmittelbar betroffen sind, wird sich dann erst noch zeigen müssen.

Aufklärung? Fehlanzeige.

Normalerweise sollten bei einem derart schwerwiegenden Eingriff mehrere Maßnahmen ineinandergreifen. Zeit ist dabei der größte Feind, denn je länger die Maßnahmen dauern, desto größer die Gefahr, dass Spuren beseitigt und weitere Rechner kompromittiert werden. Was also wäre klassischerweise zu tun, wenn beispielsweise ein Unternehmen betroffen wäre? Erstens sollten die betroffenen Rechner bzw. das Netz so isoliert werden, dass keine weiteren Datenabflüsse mehr möglich sind. Dies dient dem Schutz vor einem unkontrollierten Datenabfluss. Auch soll der Täter keinen Zugriff mehr auf seinen Trojaner haben – er könnte z.B. Spuren verwischen, Fernlöschungen veranlassen u.v.m. Wer nun meint, dass bei einem derartigen Angriff die Rechner des Parlaments vom Netz genommen wurden, der irrt. Nach wie vor, das heißt vier Wochen nach Entdeckung des Angriffs, ist sowohl das Bundestagsnetz als auch der Trojaner aktiv, lediglich einige Dienste werden über das IVBB-Netz der Bundesregierung geroutet. Zweitens sollten die Polizei bzw. Spezialisten eingeschaltet werden, um Spuren zu sichern und eine weitere Analyse der Angriffsmuster zu entdecken. Dies wird ohnehin dadurch erschwert, dass im Bundestag Verkehrsdaten nur sieben Tage lang gespeichert werden und damit Hin- und Nachweise zum Vorgehen der Täter äußert flüchtig sind. Der Bundestag scheint hingegen der Auffassung zu sein, besser als alle anderen Behörden arbeiten zu können. Das BSI ist lediglich mit beratender Funktion hinzugezogen worden. Offenbar gibt es im Parlament Vorbehalte, dem BSI weitergehende Zugriffe zu erlauben. Begründet wird dies mit “verfassungsrechtlichen Bedenken” und vor allem mit der Vorgängergeschichte des BSI: Dieses ist ursprünglich aus dem Bundesnachrichtendienst hervorgegangen. Dies ist allerdings schon viele Jahre her: Die Vorgängerbehörde der “Zentralstelle für Sicherheit in der Informationstechnik” (ZSI) war dem Bundesnachrichtendienst unterstellt. Das BSI ist bereits im Jahr 1991 gegründet worden und hat diese Funktion von dort übernommen. Die Verflechtung mit dem BND ist also bereits über 20 Jahre her. Auch dem BKA sind offenbar bisher Ermittlungen nicht gestattet worden, denn der Bundestag habe seine eigene Polizei. Das BKA sei daher bislang nicht kontaktiert worden. Drittens sollten in einem Fall wie diesem der Verfassungsschutz eingeschaltet werden. Der Verfassungsschutz ist in Deutschland die Behörde, die für die Erkennung, Aufdeckung und Abwehr von Spionagefällen zuständig ist. Auch hier sind aber die politischen Berührungsängste offenbar größer als die fachliche Fähigkeiten. Das BfV sollte nicht tätig werden, da es der parlamentarischen Kontrolle unterliege. Es könne nicht angehen, dass eine vom Parlament kontrollierte Behörde eben jenes Parlament kontrolliere. Zwischenzeitlich soll das BfV zumindest die weiteren Untersuchungen “begleiten”. Dabei soll es aber ausdrücklich “nicht innerhalb des IT-Systems tätig” werden, dies schließt die Abgeordnetenbüros, Fraktionen und Verwaltung mit ein. Viertens müssen die Mitarbeiter im betroffenen Unternehmen unterrichtet werden. Häufig herrscht beim Bekanntwerden einer Attacke große Verunsicherung: niemand weiß, wer und welche Daten betroffen sind, was zu tun ist oder was schon veranlasst wurde. Auch hier tut sich der Bundestag offenbar reichlich schwer. Fraktionsübergreifend beschweren sich viele Abgeordnete, dass sie von Seiten der Bundestagsverwaltung so gut wie überhaupt nicht informiert werden. Nicht einmal Sicherheitshinweise sind offenbar verteilt worden.

Bewertung

Es mutet schon abenteuerlich an, was gegenwärtig im Bundestag passiert. Da ereignet sich offenbar der schwerste Cyber-Angriff in der Geschichte des deutschen Parlaments (peinlicherweise zeitgleich mit dem Beschluss des IT-Sicherheitsgesetzes) und mit geradezu verzweifelt anmutender Behäbigkeit sollen alle kompetenten Behörden außenvorgelassen werden: Die Polizei soll nicht ermitteln, das BSI möglichst nur beraten und das BfV am besten von außen zuschauen. Gleichzeitig ist der Trojaner offenbar immer noch aktiv, Datenabflüsse sind noch nicht aufgeklärt und finden möglicherweise immer noch statt. In jedem größeren deutschen Unternehmen wäre unter diesen Vorzeichen der Vorstand rausgeworfen worden – und dies vollkommen zu recht. Selbst Abgeordnete bezeichnen das aktuelle Geschehen als “erschreckende Hilflosigkeit” und “gefährliche Naivität”. Im Bundestag geht derweil der Alltag weiter, als ob nichts geschehen wäre. Vereinzelt wird die Schuld bei der Bundesregierung gesucht. Diese habe in den letzten Jahren das Cyberabwehrzentrum eingerichtet und es personell nicht ausreichend ausgestattet. Das ist zwar richtig, hat aber mit der Sache nichts zu tun: Im BfV, das im Cyberabwehrzentrum vertreten ist, ist der Angriff immerhin rechtzeitig erkannt worden. Während die Bundesregierung zudem mit dem Informationsverbund Berlin-Bonn (IVBB) auf ein abgesichertes Regierungsnetz setzt (das angeblich den Angriff auch rechtzeitig hätte abwehren können) besteht der Bundestag auf einem eigenen Netz, das er selbst pflegt. Das kann man mit Verweis auf die Funktion des Deutschen Bundestages als Kontrolleur der Bundesregierung für richtig halten, in technischer Hinsicht ist dieses Verfahren, das mit einer Duplizierung  aller Sicherheitsmaßnahmen einhergehen müsste, allerdings fragwürdig. Außerdem bleibt festzuhalten: Wenn die zuständigen Behörden nicht zum Ort des Geschehens zugelassen werden, dann können sie auch nichts gegen einen Cyberangriff unternehmen. Auch aus diesem Grund geht der Vorwurf fehl, die Bundesregierung habe die IT-Probleme “verschnarcht”. Im Moment muss sich daher nur der Bundestag, der in Punkto IT-Sicherheit ohnehin nicht den besten Ruf hat, an seine Nase fassen und die Frage gefallen lassen, ob er bislang nicht alles falsch gemacht hat, was man bei einem derartigen Vorfall falsch machen kann.

Kein Cyberterrorismus (diesmal)

Samstag, 3. Dezember 2011

Die Meldung klang dramatisch: Hacker hätten Zugriff auf das Kontrollsystem eines örtlichen Wasserwerks erhalten und dort eine Pumpanlage zerstört.

Ob solche Angriffe möglich bzw. ob sie wahrscheinlich sind, mit welcher Intention sie ausgeführt werden und wie häufig dies in der Vergangenheit bereits der Fall gewesen ist, darüber wird sowohl in der akademischen Community als auch in Regierungskreisen weltweit seit vielen Jahren erbittert diskutiert.

Angriffe auf kritische Infrastruktur

Einigkeit dürfte zumindest dahingehend bestehen, dass viele Kontrollsysteme (sog. Supervisory Control and Data Acquisition Systems, kurz SCADA) inzwischen über das Internet angebunden sind. Die Gründe hierfür liegen häufig in finanziellen Einsparungen begründet, die dadurch entstehen sollen, dass die Administration von Industrieanlagen nicht mehr vor Ort, sondern zentral von einer Stelle aus durchgeführt werden kann. In anderen Fällen sitzt zwar Personal vor Ort, gewährt aber Wartungsfirmen einen Online-Zugriff, damit deren Personal nicht aufwändig (und kostenträchtig) anreisen muss, sondern die notwendigen Anpassungen aus der Ferne vornehmen kann. Wenn ein solcher Online-Zugriff grundsätzlich möglich ist, bietet er ein attraktives Ziel für Hacker, die weltweit versuchen können darauf zuzugreifen und dann nicht nur digitale Schäden anrichten, sondern, indem sie auf die Industrieanlage zugreifen können, auch ganz reale Belästigungen oder sogar Schäden anrichten können. Horror-Szenarien, die immer wieder diskutiert werden, sind z.B. der Zugriff auf elektronisch zu öffnende Schleusentore (um so, die dahinterliegenden Gegenden zu überfluten), die Veränderung lebenswichtiger Parameter in Krankenhäusern oder die Herbeiführung ferngesteuerter Unfälle von Flugzeugen, Eisenbahnen oder sogar Satelliten. Angesichts der aufgezeigten Möglichkeiten würden Angriffe auf SCADA-Systeme auch ein spannendes Ziel für (Cyber-)Terroristen abgeben. Ob derartige Angriffe tatsächlich bereits erfolgt sind, darüber kann man trefflich streiten – insbesondere, da die Angreifer in der Regel nicht verraten, warum sie ein bestimmtes Ziel angegriffen haben und welches Fernziel sie damit verfolgen wollten.

Im eingangs erwähnten Fall wurde zunächst bekannt, dass im SCADA-System der Wasserwerke in der Stadt Springfield, Illinois ein Pumpsystem dabei war, sich ständig an- und wieder abzuschalten, worauf dieses System endgültig kaputt ging. Dies klang ganz ähnlich wie der gegen iranische Zentrifugen eingesetzte Stuxnet-Virus, der durch Veränderungen der Umdrehungszahlen dafür gesorgt hatte, dass sich die Lebenserwartung der angeschlossenen Geräte drastisch verringert hatte. Nachdem ein Wasserwerk in Illinois staatliche Aktionen eher nicht provoziert haben dürfte, lagen kriminelle oder sogar terroristische Motive nahe.

Kein Cyberterrorismus…

Eine nähere Untersuchung des SCADA-Systems ergab, dass Online-Zugriffe aus Russland erfolgt waren. Das U.S.-“Statewide Terrorism and Intelligence Center” verfasste anschließend einen “Public Water District Cyber Intrusion” Report, der an die Öffentlichkeit geriet. Danach wurde der Zugriff als Hacking-Angriff gewertet. Die Meldung verbreitete sich wie ein Lauffeuer. In On- und Offlinemedien wurde spekuliert, wer aus welchen Gründen den ersten SCADA-Zwischenfall nach Stuxnet herbeigeführt haben könnte.

Zwischenzeitlich liegt die – eher profane – Auflösung des mysteriösen Zwischenfalls vor: Die Pumpe hat ihren Geist aufgegeben, wie es Pumpen nun einmal von Zeit zu Zeit tun. Ein schlichter mechanisch-elektrischer Fehler war offenbar der Grund. Und auch der Zugriff von der russischen IP-Adresse konnte aufgeklärt werden. Anders als zunächst angenommen, handelte es sich um keinen Hacker, sondern um den verantwortlichen Mitarbeiter der Wartungsfirma, der sich gerade zum Urlaub in Russland aufhielt, als er darüber informiert wurde, dass es im SCADA-System ein Problem gebe. Er wählte sich – legal und durchaus erwünscht – ein und untersuchte den Vorgang (ebenso wie später auch einmal per Mobiltelefon aus Deutschland) aus der Ferne. Da nicht bekannt war, dass er sich zum Zeitpunkt des Anrufs gerade in Russland aufhielt und sich von da aus einwählte, galt diese IP-Adresse als wichtigstes Indiz für die weitere Untersuchung des Falles. Nachdem sie in Verbindung mit dem Username des Mitarbeiters in den Logfiles auftauchte, lag die Vermutung nahe, dass ein Angreifer sich dieser Daten bemächtigt hatte, um von Russland aus auf das SCADA-System zuzugreifen. Interessanterweise kam jedoch niemand auf die Idee, einmal bei dem betreffenden Mitarbeiter nachzufragen, von wo aus er sich eingeloggt hatte oder ob es eine andere plausible Erklärung für den Login-Vorgang gab. Andernfalls hätte sich die gesamte Geschichte innerhalb von fünf Minuten aufklären können, statt diverse Strafverfolgungs- und Anti-Terrorbehörden sowie die Presse zu beschäftigen.

Interessanterweise scheinen die im “Statewide Terrorism and Intelligence Center” zusammengeschlossenen Behörden ihren Fokus bei der aktuellen Aufklärung des Falles nicht darauf zu legen, warum ein Report ohne Hinweis auf seine Vorläufigkeit der Einschätzung erfolgt ist, oder warum niemand auf die naheliegende Idee gekommen ist, den Betroffenen zu kontaktieren. Auch keine Frage scheint es zu sein, warum überhaupt ein Report zusammengestellt worden ist, nachdem sich herausgestellt hat, dass die Fehlfunktion der Pumpe mit dem SCADA-System überhaupt nichts zu tun hatte, sondern es sich offenbar um eine elektrisch-mechanische Fehlfunktion gehandelt hat. Ziel Nummer eins ist es ganz offiziell stattdessen herauszufinden, wie es sein kann, dass der Report des Centers einem Unbefugten in die Hände gefallen ist. Spätestens seit Wikileaks sollte das eigentlich nichts ganz Ungewöhnliches mehr sein…

… aber auch keine Entwarnung

Ist mit der Auflösung dieses Falles die Gefahr gebannt? Eher nicht. Der ganze Vorfall zeigt, dass auch in sensiblen Bereichen der sog. kritischen Infrastruktur Zugriffe über das Internet möglich sind. Zumindest in einigen Fällen sind SCADA-Systeme nur unzureichend gesichert und verfügen zum Beispiel über festkodierte Passwörter. Angriffe werden damit übermäßig leicht gemacht. Dies versucht offenbar auch der Hacker “Pr0f” zu beweisen, der vier Screenshots von Steuerungsanlagen veröffentlicht hat, um zu zeigen, dass auch andere SCADA-Systeme anfällig für Angriffe sind. Einige Systeme sollen von Passwörtern geschützt sein, die lediglich aus drei Zeichen bestanden, was Angreife übermäßig erleichtern würde.

Derartige Einfallstore belasten nicht nur die Unternehmen selbst oder (bei kritischer Infrastruktur) auch die Kunden bzw. die Bevölkerung, sondern sie sind auch relevant für die Verteidigung eines Staates. Cyber-Komponenten sind bei militärischen Auseinandersetzungen kaum noch wegzudenken und sind daher nicht nur für Hacker oder Terroristen, sondern auch für fremde Staaten ein interessantes Angriffsziel. Die am Donnerstag abgeschlossene deutsche länderübergreifende Krisenmanagement-Übung “LÜKEX” war aus diesem Grund auch darauf ausgerichtet, ein Angriffsszenario auf die IT-Infrastruktur zu simulieren. Wie in Deutschland auf einen derartigen Fall reagiert würde, wird allerdings erst Mitte 2012 feststehen, wenn die Auswertung der LÜKEX 2011 abgeschlossen ist. So lange wird die Auswertung der 18 Monate lang geplanten Aktion dauern.

Hackers Liebling

Sonntag, 1. August 2010

Zur Zeit wird in einigen Foren ein kostenloses Phishing Kit namens “Login Spoofer 2010” angepriesen. Mit Hilfe einer Benutzeroberfläche soll sich der Nachwuchskriminelle eine eigene Phishing-Seite gestalten können, z.B. im Look&Feen von Yahoo, Facebook oder Paypal. Was der Täter allerdings nicht weiß, ist, dass er damit vor allem die Arbeit der Toolkit-Ersteller fördert. Die Phishing-Seite sammelt nämlich zwar Zugangsdaten, gibt davon aber nur einen Bruchteil an den Nutzer weiter, um diesen dahingehend zu täuschen, dass seine Aktion wie vorgestellt abläuft. Der Großteil der Daten wird jedoch an die Hintermänner weitergeleitet. Auf diese Weise müssen sich die Hintermänner nicht darum kümmern, die Phishing-Seiten bei den Opfern zu promoten oder Webspace hierfür zu organisieren.

Ich sehe was, was Du nicht siehst

Freitag, 30. Juli 2010

Etwa 150 Mädchen im Rheinland sollen Opfer eines Cyberspanners geworden sein. Der Täter hatte sich als Schüler ausgegeben und den Mädchen eine E-Mail geschickt, die mit einem Trojaner versehen war. Mit Hilfe des Programms konnte er die Webcam der Laptops anschalten und die Mädchen so in ihrer Freizeit beobachten.

An die Adressen der Opfer war der Täter durch einen Einbuch in ein ICQ-Konto eines Gymnasiasten gelangt. Mit Hilfe einschlägiger Internetforen soll er daraus eine Vorauswahl seiner Opfer getroffen haben. Aufgeflogen war seine Masche nachdem ein Mädchen beim Besuch eines Datenschutzbeauftragten berichtet hatte, dass die Kontrollleuchte ihrer Webcam ständig leuchte und dieser den Laptop daraufhin näher untersuchte. Über die IP-Adresse konnte der Wohnsitz festgestellt werden. Im Zeitpunkt des Polizeibesuchs sollen mehrere Videos aus verschiedenen Kinderzimmern auf dem Rechner gelaufen sein.

Wenn Kriminelle gehackt werden

Samstag, 5. Juni 2010

carders.cc war über lange Zeit hinweg ein vielbesuchtes Forum, in dem Kriminelle gestohlene Finanzdaten ihrer Opfer getauscht und verkauft haben. Das Forum ist nun Opfer eines Hacking-Angriffs geworden. Über Rapidshare sind offenbar drei Dateien verfügbar gemacht worden: die Datenbankdatei des Forums mit allen offiziellen Foreneinträgen, aber auch mit der internen Kommunikation der Täter (z.B. um über Preise zu verhandeln), eine Datei mit Usernamen, E-Mail-Adressen und meist zugehörigen Passwörtern sowie eine dritte Datei mit weitergehenden Informationen über einige Teilnehmer.

Nicht nur die Ermittlungsbehörden werden jetzt interessiert einen Blick auf diese Informationen werfen, auch für die Wissenschaft können die Informationen spannende Einblicke in Marktstrukturen der Dark Economy erlauben. Für die ursprünglichen Opfer bedeutet die Verbreitung über Rapidshare allerdings eine zusätzliche Unsicherheit, denn ihre Daten stehen jetzt nicht nur wenigen ausgewählten Tätern, sondern der Weltöffentlichkeit zur Verfügung.

Geklaute Zwerge und Titanen

Donnerstag, 3. Juni 2010

Nach Informationen von Heise Security sind die Benutzernamen und Passwörter von annähernd 44 Millionen Online-Spielern mit Hilfe eines Botnetzes entwendet worden. Es soll sich um 17 GB Daten handeln, die von 18 unterschiedlichen Spielewebsites stammen. Neben den Accountnamen und -passwörtern sind offenbar auch das zugehörige Onlinespiel und der erreichte Level bekannt. Der Großteil der Opfer soll zu chinesischen Online-Spielen gehören.

Auf einschlägigen Auktionsplattformen können Spielecharaktere gewinnbringend angeboten werden. Je nach erreichtem Spielstand und Charakter können Preise zwischen 6 und 28.000 USD erlangt werden.

Heiß wie die Hölle

Dienstag, 1. Juni 2010

Am 4. Juli, dem amerikanischen Unabhängigkeitstag, ist es in Dallas meist heiß. Temperaturen von um die 38 Grad im Schatten sind keine Seltenheit. Umso unangenehmer ist es, wenn an einem solchen Tag die Klimaanlage ausfällt – und dann auch noch in einem Krankenhaus. Im North Central Medical Plaza in Dallas kam es in diesem Jahr zu einem solchen Ausfall. Allerdings nur, weil das HVAC-System (Heating, Ventilation, and Air-Conditioning) einem massiven Botnetz-Angriff ausgesetzt war und gleichzeitig die Überwachungssysteme manipuliert worden waren.

Als Täter konnte verhältnismäßig schnell ein Insider ermittelt werden, der als Sicherheitsmann im Krankenhaus angestellt war. Wie sich herausstellte, hatte er seinen physikalischen Zugriff auf diverse Computersysteme dazu ausgenutzt, im Hospital auf verschiedenen Rechnern seine Bot-Software aufzuspielen. Unter den betroffenen Maschinen befanden sich unter anderem auch Rechner im Schwesternzimmer, die auch für die medizinische Überwachung der Patienten eingesetzt waren.

Zum Verhängnis wurde dem Täter, dass er unter dem Pseudonym “Ghost Exodus” in verschiedenen YouTube-Videos mit seiner Tat prahlte (dort weitere Links). Ihm drohen nun bis zu 20 Jahre Haft sowie eine Geldstrafe von bis zu 500.000 USD. Der Fall zeigt erneut, dass die Gefahr durch Insider nicht unterschätzt werden darf.

Ein Virus als Geschenk

Mittwoch, 26. Mai 2010

Auf einer asiatischen IT-Sicherheitskonferenz ist der Firma IBM ein peinlicher faux pas passiert. Wie bei vielen anderen Firmen auch verteilte IBM USB-Sticks als Werbegeschenke an die Teilnehmer. Während auf den Datenträgern der Konkurrenz jedoch nur Werbematerialien oder harmlose Gimmicks enthalten waren, wurden die Empfänger der IBM-Sticks mit einem seit dem Jahr 2008 bekannten Windows-Schädling beglückt, der versuchte, sich nach dem Anstecken automatisch zu installieren.

IBM hat diesen Vorfall in einer E-Mail an alle Delegierten zugegeben. Spekulationen, nach denen die Firma mit der Maßnahme die Sicherheitsmaßnahmen der Teilnehmer überprüfen wollte, wie dies in der Vergangenheit von anderen Unternehmen bereits erfolgreich durchgeführt wurde, werden in der Mail nicht kommentiert.

Beweise aus der Wolke

Donnerstag, 29. April 2010

Auch in den USA machen sich die Unterschiede zwischen online abgelegten Beweisen und solchen, die sich lokal auf einem Computer befinden bemerkbar. Nach einem Bericht von Wired ist nach dem Stored Communications Act lediglich ein begründeter Anfangsverdacht (“reasonable grounds”) notwendig, um auf online abgelegte Daten zugreifen zu können. Soll hingegen die Festplatte eines Verdächtigen untersucht werden, so sind hierfür die gleichen Voraussetzungen wie bei einer Durchsuchung einschlägig, d.h. ein hinreichender Tatverdacht muss bestehen (“probable cause”). Weitere Unterschiede zeigen sich bei der Information über die Maßnahme: Während eine Hausdurchsuchung beinahe zwangsläufig wahrgenommen wird, können Behörden einen Zugriff auf online verfügbare Materialien durchführen, ohne dass der Betreffende etwas davon merkt.

Diesen feinen Unterschied mussten zwei Spammer am eigenen Leib erfahren, die ihre Dokumente bei Google Docs abgelegt hatten. Zwar hatte das FBI den juristisch aufwändigeren Weg gewählt und einen Durchsuchungsbeschluss erwirkt. Statt einer Hausdurchsuchung erfolgte aber lediglich Google die Aufforderung, E-Mails und “alle Google Apps Inhalte” herauszugeben, was 10 Tage später auch geschah. Aus den Dokumenten soll sich ergeben, dass über 3 Millionen E-Mail-Adressen mit unverlangten Werbe-E-Mails beschickt worden sind. Hierfür wurden 8.000 unterschiedliche E-Mail-Adressen eingesetzt, die bei Yahoo unter falscher Identität angelegt worden waren.

Eine Information von Google, dass ein staatlicher Zugriff auf die Datenbestände erfolgt ist, hat nach Aussage des Betroffenen auch acht Monate später nicht stattgefunden. Offiziell betont Google seine Policy nach der der Konzern Betroffene informieren will, wann immer dies möglich ist ohne die Ermittlungen zu gefährden.

Verklag’ mich doch!

Freitag, 16. April 2010

Ein neuer Trojaner in Form von Ransomware  jetzt mit Gerichtsverfahren. Nachdem angeblich urheberrechtlich geschützte Dateien entdeckt wurden, öffnet sich auf dem eigenen Rechner ein Fenster, das verschiedene, sich tatsächlich auf dem Rechner befindliche Daten auflistet und die möglichen rechtlichen Konsequenzen für den Besitzer aufzeigt (“maximum penalties can be five years in prison and up to $ 250,000 in fines”). Die Dialoge sollen sprachabhängig lokalisiert worden sein, so dass Anzeigen auf deutsch, dänisch, niederländisch, französisch, italienisch und englisch präsentiert werden können. Screenshots finden sich bei Heise Security.

Neben dem wiederkehrenden Hinweisfenster wird der Bildschirmhintergrund gegen ein Bild mit der Warnung “Warning! Piracy detected"!” ausgetauscht, um zusätzlichen Druck aufzubauen. Letztlich soll der Nutzer zu einer “außergerichtlichen Einigung” mit der angeblichen Copyright-Initiative “ICPP Foundation” gebracht werden, bei der der Nutzer 400 US-Dollar zahlen soll.