Archiv des Autors: Trend Micro

Panzerknacker 2.0

Wenn Offline-Kriminelle online gehen – Ein Kommentar von Rik Ferguson, Director Security Research & Communication EMEA

Online- und Offline-Verbrechen finden zueinander. Klingt fast romantisch, ist in Wahrheit aber erschreckend – und leider wahr. Bekanntschaften über Facebook zu knüpfen, ist ja heute nichts Besonderes mehr. In Belgien ist der Manager eines Supermarkts dieser Art von Beziehungsanbahnung nun aber zum Opfer gefallen. Statt eines trauten Stelldicheins erwartete ihn eine Bande, die mit den erbeuteten Schlüsseln den Safe des Supermarkts ausraubten.

Soziale Netzwerke sind eine wunderbare Sache, um Freundschaften zu pflegen. Leider verführen die Online-Welt und ihre vermeintliche Anonymität zu einem leichtsinnigen Umgang mit persönlichen Informationen und Bekanntschaften. Während die einen praktisch ihr ganzes Leben in ihren Profilen preisgeben, missbrauchen die Kriminellen die öffentlich zugänglichen Angaben für ihre Machenschaften. Statt einer Räubermaske tarnten sie sich in diesem Fall mit einem gefälschten Facebook-Profil. Was dann passierte, liest sich wie das Drehbuch eines Vorabendkrimis: Als junge Frau „verkleidet“ suchten sie den Kontakt zu dem Manager – mit Erfolg: Schon nach kurzer Zeit kam es zu einer Verabredung zu einem Abendessen. Am vereinbarten Treffpunkt wurde der Manager jedoch nicht mit Zuneigung überhäuft, sondern überfallen. Einer der Räuber nahm dem Gefesselten die Schlüssel zur Wohnung ab, wo er die Schlüssel zum Supermarkt fand, während ein Komplize den Wehrlosen bewachte. Kurze Zeit später räumte der dritte Gangster den Supermarktsafe leer.


Einer der mutmaßlichen Kriminellen, von einer Überwachungskamera aufgenommen

Und die Moral von der Geschicht‘: Soziale Netzwerke scheinen die Welt auf den Kopf zu stellen. Ausgerechnet in der Online-Welt, wo das Gegenüber einen nur das sehen lassen kann, was er oder sie sehen lassen will, herrscht eine Gutgläubigkeit vor, die wir in der realen Welt so nicht walten lassen würden. Doch auch für die Gangster – zumindest in diesem Fall – scheinen die Grenzen zwischen Online- und Offline-Welt zu zerfließen: Denn zwei der Räuber wurden auf ihrem Beutezug gefilmt – ohne Maske. Wären Gangster früher wirklich so unvorsichtig gewesen?

Die belgische Polizei hat jedenfalls die Videos von den beiden gefilmten mutmaßlichen Kriminellen hier veröffentlicht und nimmt sachdienliche Hinweise entgegen – per Telefon oder Online (!)-Formular…Es findet sich hier.

Wird 2011 das Jahr der Hackerangriffe?

Was man aus den jüngsten Datendiebstählen lernen kann – von Raimund Genes, Chief Technology Officer

In der chinesischen Mythologie ist 2011 das Jahr des Hasen, in der digitalen Welt scheint es sich gerade zum „Jahr der Hackerangriffe und des Datendiebstahls“ zu entwickeln. Die Mineralölkonzerne Exxon, Shell und BP, der Verschlüsselungsspezialist RSA, der Online-Händler Epsilon und der Elektronikkonzern Sony – sie alle sind in jüngster Vergangenheit Opfer gezielter Hackerangriffe geworden. Warum waren diese Attacken eigentlich so erfolgreich, und was kann man aus ihnen lernen?

Man sollte doch annehmen, dass die betroffenen Unternehmen alles versucht haben, um ihre digitalen Vermögenswerte zu schützen; dass sie alle denkbaren Sicherheitsvorkehrungen getroffen haben und sich so gut wie eben möglich mit Firewalls, demilitarisierten Zonen etc. gegen diese Art von Angriffen abgesichert haben. Und in der Tat liegt das Problem woanders: Diese Unternehmen waren gut gegenüber herkömmliche Hackerangriffe abgesichert. Gegen Angriffe von außen.

Was sie dabei aber nicht bedacht haben: Was passiert eigentlich, wenn sich jemand Zugang zu internen Ressourcen verschafft und die internen Server oder Desktopsysteme innerhalb der „Verteidigungslinien“ davon überzeugen kann, Informationen nach außen zu senden – und zwar verschlüsselt über http, so dass selbst dies noch nicht einmal festgestellt wird?

In einem Fall war ein Server offensichtlich davon „überzeugt“ worden, dass er diese Informationen nach außen senden sollte. In den anderen Fällen haben die Benutzer auf einen E-Mail-Anhang geklickt und wurden so zum Opfer, ebenso diejenigen, die diese Informationen weitergeleitet haben.

Was sind also die Lehren aus diesen Fällen? Muss man das Sicherheitsmodell überdenken? Die Antwort ist eindeutig: Ja. Denn all diese Vorfälle belegen, dass der Standardansatz des klassischen Perimeter-Schutzes nicht mehr funktioniert. Vielmehr kommt es darauf an, die Kontrolle und die Überwachung des Datenzugriffs in den Mittelpunkt zu rücken: Es geht um den Überblick darüber, wer wann auf welche Daten zugreifen kann. Und es geht darum, ein klares System zu schaffen – mit klaren Zuständigkeiten und mit einem Verantwortlichen, der sicherstellt, dass derartige Fälle nicht vorkommen, und mit einem Frühwarnsystem, dass wenigstens dann noch Anwender warnen kann, wenn ein Angriff erfolgt ist.

Ein englischsprachiger Videobeitrag zum Thema findet sich hier.

Über Raimund Genes: Raimund Genes, der über eine mehr als dreißigjährige Erfahrung in Computer- und Netzwerksicherheit verfügt, ist „Chief Technology Officer (CTO)“ bei Trend Micro. In dieser Position ist er seit 2005 verantwortlich für die Einführung neuer Methoden zur Erkennung und Bekämpfung von Malware. Er ist der Leiter eines weltweiten Expertenteams, das für das Smart Protection Network neue Technologiekomponenten zum Schutz vor E-Mail-, Web- und Datei-basierten Bedrohungen entwickelt.

Raimund Genes ist Autor zahlreicher Publikationen zu Datensicherheit sowie Content-Security und Autor des Blogs CTO Insights.

 

Alles eine Frage des Preises

Die Mac-Bastion ist nicht mehr uneinnehmbar – von Udo Schneider, Solutions Architect EMEA

Die Rechnung ist einfach: Für die kriminelle Schattenwirtschaft im Internet zählt nur das Verhältnis zwischen Aufwand und Ertrag. Je länger der Erfolg insbesondere der mobilen Geräte von Apple anhält, desto größer wird die Zahl der möglichen Opfer. Weil damit die Aussicht auf schnelle Profite steigt, lohnt sich die Entwicklung von Schadsoftware, die auf Apple-Anwender abzielt, immer mehr. Lange Zeit konnten Mac-Nutzer sich sicher und ihren Windows-Verwandten überlegen fühlen – doch diese Zeiten sind wohl endgültig vorbei. Denn im Online-Untergrund ist alles nur eine Frage des Preises. Und Apple reagiert auf die neue Bedrohungslage mit veralteten Methoden.

Jüngstes Beispiel, das die Aufmerksamkeit der Medien erlangt hat, ist „Mac Defender“. Dabei handelt es sich um ein so genanntes Trojanisches Pferd, das eine gefälschte und folglich völlig nutzlose Antivirenlösung installiert, die eingeschüchterte Anwender abzockt und persönliche Daten wie Konto- und Kreditkartennummern stiehlt. Zwar hat Apple auf diese Bedrohung mit einem Sicherheitsupdate reagiert. Das wurde jedoch innerhalb weniger Stunden mit einer neuen Variante der Schadsoftware umgangen. Damit hat das in der PC-Welt schon lange bekannte Katz-und-Maus-Spiel auch im Apple-Kosmos Einzug gehalten.

Leider sind Apple-Anwender und Apple selbst auf diese Situation nicht optimal vorbereitet. Während die Nutzer ihre Haltung zum Thema Sicherheit grundsätzlich überdenken sollten, reagiert der Hersteller mit Sicherheitsmechanismen, die gemessen an den Standards in der Windows-Welt als überholt einzustufen sind. Der von Apple favorisierte klassische Pattern-Ansatz, der die bekannten Signaturmuster von Schadsoftware in eine Datei packt, reicht schon längst nicht mehr aus. Einerseits ist der zeitliche Abstand zwischen dem Erkennen neuer Schadsoftware und ihrer Varianten sowie der Veröffentlichung der Pattern-Datei viel zu groß, als dass er mit der Ausstoßrate an neuer Schadsoftware mithalten könnte. Andererseits sind viele Anwender zu nachlässig und aktualisieren ihre Pattern-Dateien entweder zu selten oder viel zu spät.

Effektiver Schutz vor Schadsoftware – alle zweieinhalb Sekunden gibt es eine neue Variante – kommt heute ohne Echtzeitabfragen in den Datenbanken der Sicherheitshersteller im Internet nicht mehr aus. Das haben die Experten in der Windows-Welt in den letzten Jahren gelernt. Nur im Apple-Kosmos ist diese Erkenntnis bislang noch nicht ausreichend angekommen. Geeignete Lösungen wie zum Beispiel die miteinander korrelierten Reputationsdienste zu Webadressen, Dateien und E-Mails des Trend Micro Smart Protection Network sind seit längerem verfügbar – auch für Mac-Anwender. Diese sollten nicht mehr warten und sich mit geeigneten Sicherheitslösungen schützen. Denn die Schonzeit ist vorbei, die Mac-Bastion nicht mehr uneinnehmbar.

Über Udo Schneider
Als Solution Architect EMEA beim IT-Sicherheitsanbieter Trend Micro ist Udo Schneider mit den Gefahren vertraut, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bei der Entwicklung geeigneter Gegenmaßnahmen konzentriert er sich auf die Themen Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit. Schneider greift dabei auf eine langjährige Erfahrung zurück, die er als Berater, Trainer und Professional-Services-Analyst bei führenden Anbietern des IT-Sicherheitsmarktes erworben hat.

Alles Einstellungssache

In drei Klicks zu mehr Sicherheit bei Facebook – Tipps von Rik Ferguson, Director Security Research & Communication EMEA

Soziale Netzwerke, allen voran Facebook, werden nicht nur bei den Anwendern, sondern auch bei den Cyberkriminellen immer beliebter. Zwar kommt Facebook, was die Sicherheit und den Schutz der Privatsphäre anbelangt, regelmäßig in die Kritik. Andererseits bietet es ein paar Mechanismen, die effektiv für mehr Sicherheit sorgen – und zwar selbst dann, wenn das Passwort ausspioniert wurde. Drei Klicks reichen in den Einstellungen schon aus und Facebook sichert nicht nur die Kommunikation, sondern verhindert auch den Zugriff auf das jeweilige Konto von unbekannten Geräten aus.

Nach der Anmeldung bei Facebook findet man oben rechts im Dropdown-Menü „Konto“ die Option „Kontoeinstellungen“. Im nun erscheinenden Menü „Einstellungen“ findet sich der Menüpunkt „ändern“, gleich neben dem Punkt „Kontosicherheit“. Nach dem Klick darauf sollten Benutzer nun folgende Änderungen vornehmen:

1. Sie sollten das Kontrollkästchen aktivieren, um „Sicheres Durchstöbern“ zu ermöglichen. Dadurch wird sichergestellt, dass die Kommunikation mit Facebook immer verschlüsselt ist, soweit dies möglich ist, und vor Tools zum Entwenden von Passwörtern wie Firesheep (Infos hierzu auf der Internetseite des com!-Magazins) geschützt wird.

2.  Unter „Anmeldebenachrichtigungen“ können Benutzer auswählen, ob sie eine Benachrichtigung per E-Mail oder SMS erhalten möchten, falls ein unbekanntes Gerät auf ihr Konto zuzugreifen versucht.

3.  Unter „Anmeldebestätigungen“ sollten Benutzer das Feld ankreuzen, mit dem sie einen Sicherheitscode an ihr mobiles Gerät zugesandt bekommen. Denn selbst wenn jemand das Passwort ergaunert hat, kann sich derjenige ohne diesen Sicherheitscode noch nicht einloggen.

Über Rik Ferguson

Rik Ferguson ist „Director Security Research & Communication EMEA“ bei Trend Micro. In dieser Position konzentriert er sich auf die Erforschung neuer Bedrohungen, besonders im Social-Networking-Bereich. Gleichzeitig ist Ferguson, der über mehr als 17 Jahre Erfahrung in der IT-Sicherheit verfügt, Sprecher des Unternehmens für die EMEA-Region sowie Autor des Blogs „CounterMeasures: a Trend Micro blog“.

Rik Ferguson ist „Certified Ethical Hacker“, der im Unternehmensauftrag legale Tests mit den Mitteln und Vorgehensweisen eines richtigen Hackers ausführt.

Schutz für Heimanwender-Router vor möglichen DNS-Rebinding-Angriffen

Originalartikel von Ben April (Advanced Threats Researcher bei Trend Micro)

Auf der Blackhat- und DEFCON-Konferenz letzte Woche, führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff vor gegen Heimanwender-Router. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu kassieren, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während er zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users versucht dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

  • Aktivieren Sie die HTTPS-Admin-Konsole auf dem Gerät und vergessen Sie dabei nicht, die http-Konsole, wenn möglich, zu deaktivieren.
  • Verwenden Sie ein starkes Kennwort für den Router, ändern Sie den Benutzernamen von Zeit zu Zeit.
  • Deaktivieren Sie den Zugang von einem externen Netzwerk zur Admin-Konsole des Routers. Dies lässt sich meistens von der Konsole aus tun.
  • Falls Sie nicht die von dem ISP automatisch mitgelieferten DNS-Server verwenden, so nutzen Sie ein anderen rekursiven Resolver oder einen, der für die öffentliche Nutzung angeboten wird, etwa OpenDNS http://www.opendns.com/. Damit sind Sie gegen die veröffentlichte Version dieses Angriffs geschützt.
  • Wenn möglich, fügen Sie eine Firewall-Regel hinzu, die die Geräte im lokalen Netz daran hindert, Pakete an den Block zu versenden, in dem Ihre öffentliche IP-Adresse Mitglied ist. Dies hindert alle IPs im lokalen LAN daran, die externe IP des Routers zu kontaktieren. Ändert der ISP den Block, der in Ihrer Nachbarschaft genutzt wird, so muss die Regel entsprechend geändert werden. Als zusätzlicher Vorteil verhindert diese Regel, dass Ihr System unbeabsichtigt an Ihre Nachbarn sendet.
  • Halten Sie die Firmware des Router und anderer Netzwerkgeräte immer auf aktuellem Stand.