Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fĂĽnf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche fĂĽr ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es WĂĽrmer, und heute sind es in erster Linie Trojaner-Downloader fĂĽr den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner fĂĽr den Datendiebstahl, die sich als nĂĽtzliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS ĂĽberwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage fĂĽr eine zweite ĂśberprĂĽfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig fĂĽr eine Analyse zur VerfĂĽgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. FĂĽr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂĽre.
• „1.php“ – ist ein Bericht von Zscaler ĂĽber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage fĂĽr VerteidigungsmaĂźnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂĽber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst ĂĽberfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂĽr Gmail genutzt wurden, ĂĽber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂĽgen konnten

ICS (Industrial Control Systems)-Netzwerke haben seit dem letzten Jahr durch Sicherheitsprobleme und Angriffe darauf Schlagzeilen gemacht. Unter ICS-Netzwerken versteht man eine Sammlung von Netzwerken mit Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Regler oder Switches. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung oder im Transportwesen verwendet.
All den ICS-Umgebungen ist gemeinsam, dass sie nicht „traditionelle“ IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsherausforderungen, die durch die Interaktion der ICS-Elemente mit physischen Industriekomponenten noch größer werden.
Ist der Zugang zu diesen Elementen nicht entsprechend abgesichert und eingeschränkt, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als „kritische Infrastruktur“ eingestuft, die einer speziellen Sicherheitsarchitektur bedarf.
Supervisory Control and Data Acquisition (SCADA)-Netzwerke stellen die Netzwerkschicht dar, als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen, die die ICS-Elemente überwachen und kontrollieren. Bislang lebten die SCADA/ICS-Netzwerke in einer eigenen Welt von proprietären Protokollen auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken, einschließlich Internet, vollkommen abgeschnitten. Doch nun wird immer häufiger Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt.
Das technische Whitepaper “Towards a More Secure Posture for Industrial Control Systems” beschreibt die Grundelemente einer für diese Systeme erforderlichen Sicherheitsarchitektur. Dabei unterscheiden die Autoren des Papiers zwischen ICS-Netzwerken und SCADA-Funktionalität. Das ICS-Netzwerk besteht vor allem aus programmierbaren, logischen Controllern und anderen DCS-Elementen. Das SCADA-Netzwerk wiederum bildet eine „Brücke“ zwischen den ICS- oder DCS-Sensoren und den Managementsystemen, die deren Betrieb überwachen und kontrollieren.
Zu den kritischen Sicherheitsmaßnahmen gehört in erster Linie die strenge sowie zeitnahe Handhabung der Software-Patches für Sicherheitslücken, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät installiert wird (einschließlich Netzwerkmanagement-Plattformen, Router, Switches, Firewalls, Intrusion Detection Systems usw.), muss beim Patch-Management berücksichtigt werden.
Von grundlegender Bedeutung für die ICS-Sicherheit ist auch die geeignete Segmentierung und Verteilung der Netzwerke, Betriebsfunktionen und Einzelelemente. Unter anderem empfiehlt sich ein DMZ-Managementnetzwerk als zusätzliche Segmentierungsschicht. In enger Verbindung damit stehen auch Maßnahmen wie Authentifizierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere.
FĂĽr die Zugriffskontrolle empfiehlt der Autor eine spezielle Firewall, die zwischen die SCADA- und DMZ-Managementnetzwerke gesetzt wird. Sie erlaubt den Verkehrsfluss nur in eine Richtung.
Anwendungs-White-Listing stellt einen weiteren wichtigen Kontrollmechanismus dar, sodass lediglich vorher autorisierte Programme laufen dürfen. Damit soll verhindert werden, dass durch böswilliges oder unaufmerksames Verhalten von Anwendern Malware oder infizierte Programme eingeschleust werden.
SchlieĂźlich sollte ein Intrusion Detection System sowie das Log-Management und die Analyse von Sicherheits- und Ereignisinformationen nicht fehlen. Weitere Einzelheiten sowie Best Practices zur Absicherung der kritischen Infrastruktur liefert das Whitepaper.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begĂĽnstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• AusgeklĂĽgelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools ĂĽber Social Engineering ĂĽberrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von SicherheitslĂĽcken und Exploits wird weitergehen. Obwohl die Zahl der ausgenĂĽtzten SicherheitslĂĽcken, ĂĽber die berichtet wurde, rĂĽckläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenĂĽtzten SicherheitslĂĽcken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fĂĽnf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer groĂźen Schaden zugefĂĽgt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus fĂĽr 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware für Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die ständige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten Jahreshälfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr für Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden ĂĽber den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android Geräte zu schützen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz fĂĽr Android geräte inklusive App-Scanner

Wer ein kostengünstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle Käufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt Domänen, die betrügerische Kopien von eBay-Angeboten für solche Geräte umfassen. Folgender Screenshot zeigt ein Beispiel einer gefälschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, während die Fälschung Euro anzeigt. Auch ist der Preis in der Fälschung bedeutend niedriger. Die Kriminellen nutzen für ihre Zwecke das Angebot eines Verkäufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefälschten Seiten werden auf Domänen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-Domäne zu erwecken. Alle Links führen auf die echte Seite, ausgenommen natürlich “Buy It Now“. Dieser Button führt zu einer gefälschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den Verkäufer über E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff während der Weihnachtszeit. Kriminelle setzen auch gefälschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.

Wer sich zu Hause die große weite Welt des Medien-Streamings erschließen will, hat bestimmt schon die erforderliche drahtlose Technik gekauft. Drahtlose Netzwerke ersparen dem Anwender das Bohren von Löchern in den Fußboden oder die Zimmerdecke, und auch Kabel müssen nicht durch die Wände gejagt werden.

Andererseits bereiten drahtlose Netze eher Sicherheitsprobleme als festverdrahtete. Das liegt daran, dass die Datenübertragung per Funk anfälliger für das Ausspionieren von persönlichen Daten ist oder auch dafür, dass Dritte in dieses Netzwerk eindringen und illegale Dateien herunterladen. Es gibt viele gute und weniger gute Empfehlungen, wie drahtlose Netze zu sichern sind. Zu den nützlichen Ratschlägen gehören drei Schritte zur Sicherheit:

• Als Erstes meldet sich der Anwender beim drahtlosen Router oder Zugriffspunkt an und ändert den voreingestellten Benutzernamen und das Kennwort des Administrators. Das ist wichtig, weil diese Voreinstellungen leicht herauszufinden sind und ein Eindringling die vollständige Kontrolle ĂĽber die Netzwerkkonfiguration erhält.
• Danach sollte der Anwender die SSID (Service Set ID), also  den Namen des drahtlosen Netzwerks, ändern. Der Namen sollte in keiner Verbindung mit dem physischen Standort des Netzwerkes oder dem Hersteller des Routers stehen. Jede zusätzliche Information spielt einem möglichen Eindringling in die Hände!
• Nun sollte die VerschlĂĽsselung fĂĽr das Netzwerk eingestellt werden. Dies ist der wichtigste Schritt hin zur Sicherheit und dem Schutz vor unerwĂĽnschten Lauschern. Dabei ist es sinnvoll, zwei bis drei VerschlĂĽsselungsmethoden verfĂĽgbar zu haben – WEP; WPA und WPA2. WPA2 ist die stärkste, und jedes neue Gerät muss diesen Standard unterstĂĽtzen, um das Wi-Fi Certified Logo zu erhalten. Der Anwender muss auch darauf achten, dass der fĂĽr WPA oder WPA2 gewählte SchlĂĽssel ausreichend zufällig und komplex ist, sodass er Versuchen von Brute-Force-Angriffen standhält. Ein SchlĂĽssel mit einer Länge von acht Zeichen, die eine Mischung aus GroĂź- und Kleinbuchstaben sowie Zahlen darstellen, reicht aus. Bei älteren Geräten, die WPA2 noch nicht unterstĂĽtzen, ist WPA die Methode der Wahl. Doch Hände weg von WEP, denn diese Methode lässt sich einfach knacken, und es gibt viele Tools, die das sogar fĂĽr Anfänger anbieten. Ăśbrigens, das einzige Unterhaltungsgerät, das WPA2 nicht unterstĂĽtzt, ist dem Autor zufolge Sony PSP. Aber auch dieses Gerät kann WPA.

Zu den weniger sinnvollen Empfehlungen gehören die folgenden:

1 – Verstecken der SSID: Befolgt der Anwender diesen Ratschlag, so bewirkt das nichts anderes, als dass der Anwender sie am „Senden“ hindert. Jeder, der versucht an dem unbenannten Netzwerk zu lauschen, kann auch in Sekunden die SSID herausfinden, denn der Namen wird jedes Mal im Klartext mit jedem drahtlosen Zugangspunkt ausgetauscht. Die SSID ist bloß der Name des Netzwerks und keine Sicherheitsfunktion. Auch sieht die ursprüngliche 802.11-Standardspezifikation das Senden der SSID vor.

2 – Filtern der MAC-Adresse: Der Ratschlag, eine “Whitelist” der MAC-Adressen (Hardware-Adresse eines Netzwerkgeräts) anzulegen und nur diesen eine Verbindung zu erlauben, ist reine Zeitverschwendung. Jeder Lauscher kann sehen, welche MAC-Adressen eine Verbindung zum Netzwerk aufnehmen dürfen. In ein paar Sekunden kann eine Netzwerkschnittstelle konfiguriert werden, die eine der „guten“ MAC-Adressen hat.

Quelle: johnsnape’s Flickr

Visas 2001 eingeführtes Sicherheitsprotokoll 3DS  (3 Domain Secure) war ein Versuch, den Kreditbetrug beim Online-Einkauf einzudämmen. Das Protokoll ist besser bekannt unter den Bezeichnungen, die es bei den verschiedenen Kreditkartenherausgebern erhielt: „Verified by Visa“, „Mastercard Secure Code“, “J/Secure” (JCB International) und “SafeKey” (American Express). Leider stellt 3DS keinerlei Hürde für Betrüger dar – zumindest nicht in der Art, wie die Kartenanbieter das Protokoll implementieren.

Visa schreibt in „Haben Sie noch Fragen“ auf der Website: „Verified by Visa schützt Ihre Karte vor unautorisierten Transaktionen und bietet Ihnen umfassende Sicherheit beim Online-Shopping.“ Und weiter an anderer Stelle: „Sie können Ihr Passwort zurücksetzen lassen.“ Hier aber liegt das Problem.

Es handelt sich um eine sehr grundlegende Design-Sicherheitslücke. Tätigt ein Verbraucher einen Einkauf bei einem Händler, der an diesem Programm teilnimmt, so wird er in der Bezahlphase an eine 3DS-Verifizierungsseite weitergeleitet. Hier muss er die Einzelheiten der Transaktion bestätigen, sein Kennwort angeben, und damit ist die Transaktion komplett. Der Händler bekommt das Kennwort nie zu sehen, und keine Transaktion kann ohne dieses Passwort durchgeführt werden. Soweit so gut , aber …

Was würde ein Krimineller tun, der zwar die Karteninformationen des Verbrauchers hat, aber nicht sein Kennwort? Hier kommt ihm der Link „Passwort vergessen“ gerade recht. Im ersten Schritt beim Zurücksetzen des Kennworts muss der Karteninhaber seine Kartennummer angeben, damit das Passwort des richtigen Kontos geändert wird. Danach werden weitere Daten abgefragt, die beweisen, dass es sich um den legitimen Inhaber handelt. Folgende Abbildung zeigt die Identifizierungsphase:

Der zweite Schritt beim ZurĂĽcksetzen des Kennwort

Nun, das sieht gar nicht gut aus! Drei von vier Informationen, die die Identität prüfen sollen, sind auf der Kreditkarte an sich enthalten, sei es gedruckt oder auf dem Magnetstreifen. Was, wenn der Kriminelle bereits Zugriff darauf hat? Übrig bleibt eine einzige, nicht auf der Karte vorhandene Information. Die jedoch ist nicht nur weit verbreitet in sozialen Netzwerken, Umfragen und an vielen anderen Orten, sie ist auch frei verfügbar in öffentlichen Datenbanken: Es ist das Geburtsdatum.

Nach Angabe der erforderlichen Informationen kann der Verbraucher jetzt ein neues Kennwort seiner Wahl angeben – und damit ist die Transaktion autorisiert. Schlimmer noch, der Karteninhaber erhält keine Mail-Benachrichtigung darüber, dass auf sein Konto zugegriffen und sein Kennwort geändert wurde. Erst ein Blick in die Kontoauszüge offenbart den Schaden.

Verbesserungsvorschläge? Es wären lediglich ein paar wirklich grundlegende Schritte in diesen Prozess einzubauen:

• Bei der Anmeldung an dieses Sicherheistssystem sollte der Karteninhaber eine Reihe “geheimer Fragen” festzulegen haben, die später als Authentifizierungsdaten beim Ă„ndern eines Kennworts dienen können.
• Anstatt sich zum Reset-MenĂĽ durchzuklicken, könnte der Kartenhalter per Mail ein einmaliges Kennwort fĂĽr das ZurĂĽcksetzen bekommen.
• Sobald eine Ă„nderung der Konteninformationen angefragt wird, sollte der Inhaber ein Benachrichtigung darĂĽber erhalten.

Und noch etwas: Es wäre schön, wenn das Kennwort Sonderzeichen enthielte.

Nachdem die schlimmsten Gefahren bereits beschrieben wurden, folgen nun weitere fünf Szenarien, die mithilfe der neuen Funktionalität von HTML5 denkbar sind.

• Clickjacking einfach gemacht: Clickjacking an sich ist keine neue Angriffsmethode. Ihr Ziel ist, effizient Mausclicks zu stehlen und sie an eine andere, vom Angreifer angegebene Seite umzuleiten. Damit klickt das Opfer, ohne es zu wissen, auf einen versteckten Link. Die derzeit beste GegenmaĂźnahme auf Seiten des Servers besteht im so genannten Framekilling. Im Prinzip geht es dabei darum, dass eine betroffene Site mithilfe von JavaScript prĂĽfen kann, ob sie in einem iframe läuft und wenn ja, sich nicht mehr anzeigen lassen. Facebook, Gmail und andere nutzen diese Technik bereits. HTML5 nun ist um ein neues Sandbox-Attribut fĂĽr iframes erweitert worden, das JavaScript stoppt. In vielen Fällen ist dies sinnvoll fĂĽr ein sicheres Setup, doch die Kehrseite bedeutet auch, dass der aktuelle Schutz gegen Clickjacking damit nicht mehr funktioniert.
• Port Scanning mit Cross Origin Requests oder WebSockets: Mit HTML5 kann ein Browser sich nun mit jeder IP-Adresse oder Site ĂĽber nahezu jeden Port verbinden. Der Browser kann jedoch die Antwort auf diese Verbindung nicht lesen, ohne dass dies von der Ziel-Site ausdrĂĽcklich erlaubt wird. Forscher haben aber bereits gezeigt, dass die Zeit, die eine Anfragebearbeitung benötigt, dazu genutzt werden kann, um festzustellen, ob der Ziel-Port offen ist. Damit kann der Angreifer Ports des lokalen Netzwerks eines Opfers direkt aus dem Browser scannen.
• Social Engineering mit Webbenachrichtigungen: Webbenachrichtigungen gehören zu den neuen Fähigkeiten in HTML5. Diese Popup-Fenster, die auĂźerhalb des Browser erscheinen, lassen sich mit HTML beliebig anpassen, um eine ausgefeilte Interaktion aufzusetzen. Andererseits sind die Popups auch eine Goldgrube fĂĽr Social Engineering-Angriffe wie Phishing oder FAKEAV. Das Bild vermittelt eine Vorstellung davon, was Angreifer mit der Funktionalität anstellen können:
  
  
• Verfolgen von Opfern mit Geolocation: Geolokalisierung ist die meisten beachtete neue Funktionalität in HTML5. Aus Sicherheits- und DatenschutzgrĂĽnden muss eine Site immer die Bewilligung des Nutzers einholen, bevor sie auf diese Informationen zugreift. Doch hat die Erfahrung mit Funktionalität wie Vistas User Access Control, Androids Anwendungsberechtigungen und ungĂĽltigen HTTPS-Zertifikaten gezeigt, dass Sicherheit auf Grundlage von Nutzerentscheidungen nur selten funktioniert. Sobald die Erlaubnis erteilt ist, kann die Site nicht nur den Standort des Opfers bestimmen, sondern auch die Bewegung des Opfers in Echtzeit nachvollziehen.
• Verfälschen von Formularen: Eine weitere neue Funktionalität erlaubt es Angreifern, die JavaScript-Code in eine Site eingefĂĽgt haben (etwa ĂĽber einen XSS-Angriff), das Verhalten der Formulare auf der Seite zu ändern. Beispielsweise kann ein Angreifer ein Formular in einem Online Shop so ändern, dass dieses statt Inhalte oder Login-Daten an die Einkaufsseite zu ĂĽbermitteln, diese Informationen an die Site der Kriminellen ĂĽbermittelt.

In dem ausfĂĽhrlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.