Hier fliegen gleich die Löcher aus dem Käse!

Beitrag von Udo Schneider, Pressesprecher und Security Evangelist bei Trend Micro

Bildquelle: Wikipedia, Bild von AlMare unter Creative-Commons-Lizenz

Bildquelle: Wikipedia, Bild von AlMare unter Creative-Commons-Lizenz

Dass die Veröffentlichung unseres Forschungsberichts zu „Operation Emmental“ zu Kommentaren führen würde, war zu erwarten. Einige waren zum Schmunzeln, einige positiv, wenige negativ. Einige beruhten aber auch schlichtweg auf falschen – genauer: auf falsch verstandenen – Tatsachen. Das wäre nicht so schlimm, wenn hier die im Bericht beschriebene Gefahr nicht gleich mit unter den Teppich gekehrt und im selben Atemzug behauptet worden wäre: „Ihr braucht euch keine Sorgen zu machen, es ist alles in Ordnung!”

Denn das ist es nicht. Doch der Reihe nach…

Viele Kommentatoren forderten, dass wir die Namen der Betroffenen beziehungsweise die der Täter preisgeben sollten. Einige gingen sogar so weit uns zu unterstellen, dass wir das gar nicht könnten. Dass wir nur „heiße (Sommerloch-)Luft“ produzieren würden und gar keine Hintergründe vorlegen könnten.

Lassen Sie mich mit der Frage nach den Tätern anfangen: Unsere Forscher haben sehr genaue Informationen über den möglichen Täter, einschließlich der Adresse, des Facebook-Profils etc. Nach Gesprächen mit Strafverfolgungsbehörden haben wir uns bewusst dazu entschieden, diese Informationen nicht zu veröffentlichen. Auf der einen Seite gilt in einem Rechtsstaat immer noch die Unschuldsvermutung, auf der anderen Seite handelt es sich hierbei um Informationen zu laufenden Ermittlungen. Und jede Veröffentlichung, die nicht von den ermittelnden Behörden selbst kommt, könnte einen – möglichen – Prozess beeinflussen.

Auch bei den potentiellen Opfern haben die Mitglieder unseres „Forward-Looking Threat Research Team“ ganze Arbeit geleistet. Sie haben genau recherchiert, welche Domains bei infizierten Benutzern umgeleitet werden. Dies ist auch aus dem SSL-Zertifikat ersichtlich. Dementsprechend lassen sich Rückschlüsse darauf ziehen, auf welche Institutionen es die Operation abgesehen hat. Betroffen waren nach unserem jetzigen Kenntnisstand Finanzinstitute in der Schweiz, in Österreich, Schweden und Japan – mit einer starken Häufung in Österreich und der Schweiz.

Wenn wir also die genaue Liste haben, wieso veröffentlichen wir sie dann nicht? Das liegt, salopp gesagt, am „Shoot-the-Messenger-Prinzip“, also der sprichwörtlichen Bestrafung des Überbringers schlechter Nachrichten: Wir haben im Vorfeld alle betroffenen Firmen und Banken kontaktiert. Denn auch die sind ja Opfer – immerhin werden Daten ihrer Kunden mit einer perfiden Methode abgegriffen. Leider gab es aber auch Antworten wie diese hier: „Wenn Sie unseren Namen erwähnen, verklagen wir Sie!“. Oft ohne Nachfrage, was denn überhaupt veröffentlicht werden soll. Häufig noch ergänzt um den Satz, das sei „doch eh alles alter Käse“. Schließlich handle es sich um das seit November 2013 bekannte „ReTeFe“.

Hier sind, denke ich, vielleicht ein paar Informationen zu den Hintergründen hilfreich: Das „Neue“ an „Operation Emmental“ ist nicht, dass wir „noch eine“ Banking-Malware entdeckt haben – das passiert im Sekundentakt. Die Malware an sich ist unter anderem bei MELANI seit November 2013 bekannt und bei Microsoft seit Februar 2014 dokumentiert. Unsere Forschungsarbeit zu „Operation Emmental“ knüpft zeitlich an diese Einträge an; er bezieht sich auf das, was nach (!) der Infektion passiert. Also: Wieso werden die DNS-Server eingetragen? Welche Seiten werden mit ihrer Hilfe umgeleitet? Welche Domänen tauchen im SSL-Zertifikat auf? Welche Inhalte haben die umgeleiteten Banking-Seiten? Fängt die gefälschte Online-Banking-App SMS-Nachrichten ab?

Switch-CERT schreibt dazu in einem Blog-Eintrag: „Die meisten dieser Bankentrojaner basieren auf technisch betrachtet ziemlich komplexen Softwarekomponenten: Verschlüsselte Konfigurationen, Man-in-the-Browser-Funktionalität, Persistenz- und Updatemechanismen, um einige zu nennen. Im letzten halben Jahr hat sich eine gänzlich neue Variante behauptet, welche erst im Februar 2014 einen Namen erhielt: Retefe. […] Das Besondere am Retefe Bankentrojaner ist seine Schlichtheit. Das infizierte System wird wie folgt manipuliert: Auf dem PC des Opfers wird der Eintrag des DNS-Servers auf einen bösartigen DNS-Server geändert. Auf dem PC des Opfers wird ein gefälschtes Root-Zertifikat installiert, siehe auch unser kürzlich veröffentlichten Blog-Artikel zu diesem Thema.“

Das heißt: „Operation Emmental“ beschreibt einen konkreten Fall, bei dem das mTAN-Verfahren ausgehebelt wird. Nicht mehr, nicht weniger.

Dieser Ansatz ist weder technisch neu noch einzigartig. Bereits 2011 warnte das BSI vor Schadsoftware, die in der Lage ist, das mTAN-Verfahren auszuhebeln. Und eines ist sicher: Die Täter haben sich schon lange auf das mTAN Verfahren eingestellt.

An dieser Stelle lohnt sich ein Blick in die Geschichte der Sicherheitslücken bei Software. In diesem Umfeld ist es heute „best-practice“, solche Lücken im Vorfeld an Unternehmen zu melden und diese – nach angemessener Zeit – auch öffentlich zu machen, um mögliche Opfer zu warnen. Wenn die kontaktierten Unternehmen, deren Software eine Lücke aufweist, gleich juristisch gegen den Entdecker (!) vorgehen würden, hätte dies nur einen Effekt: Es würden keine Lücken mehr gemeldet werden. Sorgt dies dafür, dass es weniger Lücken gibt? Nein! Es sorgt lediglich dafür, dass sie niemand mehr meldet, aus Angst, juristisch belangt zu werden. Was natürlich die „bösen Jungs“ nicht davon abhält, die Lücken zu nutzen.

An dieser Stelle ein erstes Zwischenfazit: Ja, wir haben deutlich mehr Informationen als im Forschungsbericht auftauchen. Die Entscheidung, sie nicht zu veröffentlichen, beruht auf juristischen Hintergründen zu Ermittlungen (was ich verstehe) und auf der „Shoot-the-Messenger-Mentalität“ bei möglichen Opfern (was ich ganz und gar nicht verstehe).

Doch das ist noch nicht alles. In manchen Artikeln wurde einer Behauptung, die nie aufgestellt wurde, widersprochen – und auch gleich alle anderen Aspekte der Diskussion unter den Teppich gekehrt. Klingt komisch, ist aber so passiert: „Gemäss Trend Micro Bericht handle es sich bei Retefe um einen Angriff auf die Bankeninfrastruktur. […] weist darauf hin, dass Angriffe auf E-Banking-Applikationen meistens den Endbenutzern und nicht den Banken gelten.“ Diese Aussage entspricht in keiner Weise dem Sachverhalt. Wir haben nie behauptet, dass es sich um einen Angriff auf die Bankeninfrastruktur handelt.

Da frage ich mich wirklich, ob in manchen Fällen der Forschungsbericht, der Blog-Eintrag oder die Pressemitteilung überhaupt gelesen wurden? Dass das Thema journalistisch sprachlich zugespitzt werden würde, war zu erwarten und vollkommen legitim. Wenn man aber nur aus der eigenen Interpretation dessen, was Sekundärquellen schreiben, heraus der Primärquelle widerspricht, ohne diese zu prüfen, dann ist das in meinen Augen schlichtweg unseriös. Im universitären Umfeld kosten solche „Recherche-Kunstfehler“ gerne mal den Titel. Aber sei‘s drum, auch wenn mich diese „Präzisierung“ ärgert, hätte ich noch immer nichts gesagt, wenn nicht …

… ja wenn nicht mit dem Widerspruch der (niemals getätigten) Behauptung auch gleich der Kern der Schlussfolgerung aus „Operation Emmental“ unter den Teppich gekehrt worden wäre! Gewissermaßen als „sprachlicher Kollateralschaden“. Das ist der Punkt, an dem sich mir – bei so viel, Entschuldigung, „Käse“ – dann doch der Magen umdreht.

ReTeFe ist nicht neu, es ist mindestens seit November 2013 bekannt. Und laut eigener Aussage blocken Banken beziehungsweise Internet-Service-Provider ReTeFe. So weit, so gut. Was hier völlig ignoriert wird, ist die Tatsache, dass ReTeFe beziehungsweise „Operation Emmental“ nachweislich das Verfahren von Token via SMS (beispielsweise mTAN) aushebelt! Und genau das ist die Kernaussage von „Operation Emmental“.

  • Wird die konkrete Malware ReTeFe geblockt? Wahrscheinlich.
  • Ist damit der Weg für andere Malware geebnet, dem nachzueifern? Auf jeden Fall!
  • Wird diese neue Malware zeitnah via Pattern/SPAM-Filter erkannt werden? Wenn die Malware-Programmierer ihren Job verstehen, dann nicht! Heutige Malware läuft durch einen Qualitätssicherungsprozess, der sicherstellen soll, dass diese Schadsoftware eben gerade nicht von Anti-Malware-Lösungen sofort erkannt wird. (Und ja, ich bin mir durchaus der Tatsache bewusst, dass mein Arbeitgeber Anti-Malware-Lösungen herstellt.)

„Operation Emmental“ lässt sich mit einem Satz zusammenfassen: „Wie Malware das mTAN-Verfahren untergräbt“. Die Sicherheit, die manche Kommentatoren suggerieren möchten, ist nachweisbar nicht mehr gegeben.

Übrigens: „Operation Emmental“ behandelt einen technischen Prozess, mit dem mTAN auf Kundenseite ausgehebelt werden kann. Es gibt aber durchaus auch andere Möglichkeiten, das Verfahren zu „missbrauchen“.

Ach ja, zu guter Letzt noch etwas: Über Twitter haben wir einen Kommentar erhalten, dass „die meisten [Schweizer] Käse KEINE Löcher“ hätten. Was, wie wir hiermit gerne öffentlich klarstellen, vollkommen der Wahrheit entspricht. Ausgehend vom Titel der Operation haben wir uns vom gleichnamigen, weltweit bekannten Emmentaler Käse inspirieren lassen. Und der hat nun mal Löcher. Dennoch war die Verallgemeinerung so vielleicht nicht in Ordnung…

 

 

 

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.