Schlagwort-Archive: Service-Provider

Carrier IQ: Nutzen schlägt Risiko

Originalartikel von Kervin Alintanahin, Threat Analyst

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.

Kein unternehmensinterner Konsens über Cloud-Sicherheit

Originalartikel von Simply Security, Trend Micro

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Einbruch bei niederländischer Zertifizierungsstelle: Iranische Internetnutzer werden ausspioniert

Originalartikel von Feike Hacquebord, Senior Threat Researcher

 

Der Angriff auf die niederländische Zertifizierungsstelle DigiNotar hat weitreichendere Auswirkungen als ursprünglich angenommen und betrifft eine Vielzahl von .com-Domains wie beispielsweise google.com. Wie interne Nachforschungen von Trend Micro ergeben haben, sind davon in erster Linie die Internet-Nutzer in mehr als 40 verschiedenen Netzwerken von Internet-Service-Providern und Universitäten im Iran im Visier der Angreifer.

Bereits im Juli waren Hacker in die Systeme von DigiNotar eingebrochen und hatten falsche SSL-Zertifikate für Hunderte Domain-Namen, einschließlich google.com, sowie für die gesamte .com-Top-Level-Domäne, ausgestellt. Eine Liste mit den gefälschten Zertifikaten, die keinen Anspruch auf Vollständigkeit erhebt, ist unter hier abrufbar.

SSL-Zertifikate stellen eine Art digitalen Ausweis dar, mit dessen Hilfe Web-Browser feststellen können, ob eine Web-Site authentisch ist. Das ist aus Anwendersicht insbesondere beim Online-Banking, der abgesicherten Kommunikation über E-Mail-Anbieter oder bei jeder anderen Web-Site relevant, mit der etwa zum Zweck des Online-Shopping eine sichere Verbindung aufgebaut wird. Erst wenn der Austausch der Zertifikate die Echtheit oder Identität der vom Anwender adressierten Website festgestellt hat, kann die verschlüsselte Kommunikation beginnen.

Das Gefährliche an den gefälschten Zertifikaten ist, dass die Web-Browser der Anwender sie nicht als solche erkennen. Dadurch lassen sie sich für so genannte Man-in-the-Middle-Angriffe missbrauchen. Das heißt, dass die Hintermänner hinter der Attacke den kompletten verschlüsselten Datenverkehr der betroffenen Anwender mitlesen können. Die Analyse der Daten aus dem „Smart Protection Network“ von Trend Micro zeigen, dass eine Vielzahl von iranischen Internet-Nutzern derzeit mithilfe solcher Angriffe ausspioniert werden.

Informationen finden sich auch  im Trend Micro Blog unter http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/.

Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück

Originalartikel von Loucif Kharouni (Advanced Threats Researcher bei Trend Micro)

Letzte Woche wurde das Pushdo-Botnetz dank der Bemühungen einiger Sicherheitsforscher vom Netz genommen. Das Botnet hatte über das Cutwail-Modul Spam verbreitet. Von den 30 als Command-&Control-Server (C&C) identifizierten Systemen wurden 20 stillgelegt, nachdem die entsprechenden Internet Hosting Provider davon in Kenntnis gesetzt wurden.

Die Aktion zeigt bislang Erfolg. Das Monitoring bei Trend Micro hat ergeben, dass die Spam-Menge über die Cutwail-Bots erheblich zurückgegangen ist und die C&C-Server seither inaktiv sind. Noch ist es zu früh, um Prognosen über den Langzeiteffekt dieser Aktion abzugeben. In der Vergangenheit waren schon häufiger Botnetz-Server stillgelegt worden, so etwa diejenigen von McColo Ende 2008. Leider konnten die Kriminellen in vielen Fällen die betroffenen Botnetze schnell wiederherstellen und ihre Tätigkeit innerhalb von Wochen wieder aufnehmen.

Botnetze lahmzulegen ist eine gute Sache, doch reicht es nicht aus, um die Spam-Pandemie zu stoppen. Das Botnetz mag erst einmal zerstört sein, doch die Spammer dahinter sind immer noch da und können weitere Botnetze erzeugen. Diese Kriminellen müssen verhaftet und hinter Gitter gebracht werden. Nur so haben wir eine Chance diesen Cyber-Krieg zu gewinnen. Trend Micro arbeitet eng mit den Polizeibehörden zusammen, um die Kriminellen zu finden.

Nähere Informationen zu den Aktivitäten des Pushdo/Cutwail-Botnetzes gibt es in dem Papier “A Study of the Pushdo/Cutwail Botnet”.

ISPs können bei der Bekämpfung der Botnetze helfen

Originalartikel von Elizabeth Bookman (Threats Marketing Manager, Trend Micro)

Botnetz-Betreiber verdienen Millionen Dollar durch den Geldraub von den PCs unschuldiger Nutzer. Sie kaufen und verkaufen Services, gehen Partnerschaften ein und nehmen Dienstleistung in Anspruch, genauso wie es legale Unternehmen auch tun. Der Hauptunterschied besteht jedoch in der Legitimität und Legalität ihrer Produkte, Lösungen und Dienste, die sie produzieren. Die Menge der Spam-Nachrichten, die über Botnetze verbreitet werden, ist gigantisch, und Spam bleibt dank der Verbreitungsgeschwindigkeit, der riesigen Ziellisten und relativ geringen Kosten auch weiterhin das das bevorzugte Mittel der Verbreitung. Trend Micro schätzt, 97 Prozent aller E-Mails sind Spamnachrichten.

Doch was lässt sich gegen die Cyberkriminellen unternehmen? Dem kürzlich von der Messaging Anti-Abuse Working Group (MAAWG) veröffentlichten 2010 Consumer Survey zufolge sind 65 Prozent der Befragten der Ansicht, ISPs und ESPs sollten mehr Verantwortung für das Stoppen von Spam, von Computerviren, gefälschten E-Mails und Spyware übernehmen. Die MAAWG-Umfrage hat auch ein niedriges Sicherheitsbewusstsein bezüglich Botnetze beim Privatanwender ausgemacht. Deshalb müssen Service Provider proaktiv ihre Kunden unterstützen und schützen.

Trend Micros Chief Technologist Dave Rand erläuterte, dass ISPs die Möglichkeit besitzen, Botnetze und Spam mit einigen einfachen Schritten zu bekämpfen. Beispielsweise können sie E-Mail auf Port 25 blockieren – der Port ist für SMTP-Sendungen verantwortlich. Botnet-Kommunikation nutzt diesen Port, wenn Spam oder andere Junk-Mail verschickt wird. Wird Port 25 blockiert, so ist die Spam-Kommunikation ineffektiv. Nutzer werden im Allgemeinen keine direkte Änderung bemerken, denn die meisten nutzen die Server ihres ISPs oder kostenlose E-Mail-Dienste wie Gmail, Windows Live Hotmail oder Yahoo Mail.

ISPs können ihre eigenen Netzwerkaktivitäten überwachen und aus technischen oder Abrechnungsgründen jederzeit bestimmte IP-Host-Adressen identifizieren. Mithilfe dieser Information stellen sie fest, wie der Verkehr in ihren Netzwerken aussieht und können auch bösartigen Verkehr beobachten. Damit sind sie in der Lage, Port 25 zu blockieren und, noch wichtiger, die infizierten Kunden zu diagnostizieren und zu informieren. Praktisch alle werden Hilfe benötigen, um die kompromittierten Maschinen in ihrem Netzwerk zu säubern. Diese Zusammenarbeit führt zu der Verringerung der Zahl von Bot-infizierten Computern und sichert zudem die Vertraulichkeit der Nutzerdaten.

Trend Micro ist der Ansicht, dass das kürzlich in Australien getroffene Abkommen – die ISPs haben sich dazu verpflichtet, ihre Kunden von Infektionen zu unterrichten – und ein ähnliches in den Niederlanden (hier sind die ISPs überein gekommen, die Sicherheitsinformationen auszutauschen und ihre Kunden über Infektionen zu unterrichten) werden einen dramatischen Effekt auf die Anzahl der Bot-Infektionen in diesen Ländern haben.

Die Sicherheitsforscher von Trend Micro haben mehr als vier Millionen kompromittierte Systeme allein in der Türkei entdeckt. Sie arbeiteten direkt mit einem bestimmten ISP, der daraufhin aktiv wurde, die betroffenen Computer aus dem Netz nahm. Obwohl diese Computer immer noch infiziert sind und dazu genutzt werden können, um Informationen zu stehlen, der sofortige Abfall im Spamaufkommen aus diesem Netzwerk war erheblich.

Die Benachrichtigung der Kunden durch ihren Provider ist von entscheidender Bedeutung. Die Erfahrung aus vielen Projekten hat gezeigt, dass die Nutzer proaktiv ihre Netzwerke säubern, sobald sie von einer Infektion informiert wurden. Auch sollte in Betracht gezogen werden, dass nicht alle der kompromittierten Hosts Endanwendern gehören, sondern einige sind im Besitz von Behörden oder Krankenhäusern. Das heißt, es geht nicht allein um Spam sondern auch um Gesundheit oder öffentliche Sicherheit.

In Anbetracht der Größe des Problems stellt sich die Frage, ob es um den Schutz der Integrität von Systemen auf Landesebene geht – vielleicht!

Wir wissen, dass Indien immer mehr zum Problem wird. Dave Rand arbeitet derzeit direkt mit ISPs in ganz Indien, um die richtige Lösung zu finden. Brasilien ist ein weiteres Land, dass immer weiter an die Spitze rückt, wenn es um die Zahl von kompromittierten Computern geht. Hier handelt es sich vor allem um auf Banken bezogenen Spam.

Trend Micro möchte mit ISPs zusammen arbeiten und sie dazu bringen, eine aktive Rolle bei der Benachrichtigung ihrer Kunden zu übernehmen. Es handelt sich um eine soziale und moralische Pflicht der Service Provider rund um die Welt.